La variante del Zeppelín para el rescate ha resurgido en estado salvaje, empleando un nuevo descargador de troyanos para evadir las aplicaciones antivirus y evitar su detección, según una nueva investigación de Juniper Threat Labs.
Los investigadores de Blackberry Cylance observaron por primera vez a Zeppelin en noviembre de 2019, en una ola de ciberataques dirigidos y cuidadosamente seleccionados contra los sectores de la tecnología y la salud en los Estados Unidos y Europa. La variante era el último miembro de la familia de los rescates como servicio, basada en Delphi, conocida como Vega o VegaLocker, que se cree que es de origen ruso.
La variante utiliza la ofuscación en todas las cadenas binarias sensibles con diferentes claves RC4 pseudo-aleatorias de 32 bytes adjuntas a cada cadena de cifrado.
La última campaña de Zeppelin fue detectada por primera vez por Juniper el 28 de agosto, utilizando un dominio registrado el 4 de junio para su comando y control (C2). Los investigadores creen que el malware sigue siendo un objetivo y no está muy extendido, aunque es difícil evaluar cuántos ordenadores objetivo resolvieron el dominio C2.
Las infecciones de Zeppelin comienzan como documentos de Microsoft Word que contienen una macro maliciosa. Los métodos utilizados son similares a otros ataques de rescate, con documentos diseñados para atraer a las víctimas a permitir que las macros de VBA lancen la implementación del rescate.
Sin embargo, las supuestas facturas adjuntas a los documentos maliciosos son sólo imágenes, y si las imágenes se mueven, el documento revela lo que parece ser un galimatías aleatorio. En realidad, el documento contiene scripts de Visual Basics ocultos para el usuario en texto basura.
Si un usuario abre el documento, el texto es extraído y escrito en la computadora por la macro incrustada. Una vez que el documento se cierra, se ejecuta la segunda macro.
El informe de los Laboratorios de Amenazas de Juniper contiene una lista de indicadores de compromiso (IOCs) para ayudar a identificar una infección. Las variantes de software de rescate operado por humanos son extremadamente difíciles de detectar, lo que significa que las organizaciones de atención médica también deben consultar las guías previas de Microsoft para conocer los métodos de detección y respuesta.
Spanish
English
Portuguese
Chinese (Simplified)
Russian
French
German
Dutch
Italian