Hace tres semanas, miembros de iSIGHT Partners descubrieron un nuevo ransomware que cifra los documentos de las víctimas. Llamaron a esta nueva amenaza "TorrentLocker"; se propaga mediante mensajes de spam que contienen un vínculo a una página de phishing, donde se le pide al usuario que descargue y ejecute "información para el rastreo de un envío". En agosto, solo los australianos eran víctimas de las páginas falsas de Correo Australiano para el rastreo de envíos.
Mientras los investigadores de ESET rastreaban la nueva amenaza, encontraron que este grupo malicioso estaba dirigiendo sus ataques a nuevas víctimas. Los usuarios de Internet del Reino Unido deberían ser conscientes de que existen páginas falsas para el rastreo de envíos por Royal Mail, que están circulando en línea y distribuyendo TorrentLocker:
La táctica es la misma: uno ingresa la comprobación CAPTCHA y luego hace clic en un archivo comprimido .zip que contiene la carga ejecutable. Es interesante notar que la página falsa de Royal Mail solo se mostrará si el visitante es de Reino Unido. El filtrado parece basarse en la dirección IP de la solicitud. Si la solicitud no proviene de una dirección IP de Reino Unido, la víctima será redirigida a google.com. Hay tres dominios nuevos que alojan la página falsa de Royal Mail:
- royalmail-tracking.info
- royalmail-tracking.biz
- royalmail-tracking.org
Como se puede observar, la fecha de registro de estos dominios es el 2 de septiembre, es decir que esta campaña comenzó hace muy poco tiempo.
Una vez instalado, el malware cifra los documentos de las víctimas y les exige el pago de un rescate de 350 libras esterlinas si lo pagan dentro de las 72 horas o de 700 si el pago es posterior. El pago se realiza mediante una transacción de bitcoins (1,19 o 2,38 bitcoins). Para ocultar su infraestructura, el servidor web se aloja en un host .onion en la red Tor.
Con el propósito de facilitarles a las víctimas el acceso a la página web, TorrentLocker suministra vínculos a nodos Tor2Web de modo que no necesiten instalar software adicional para acceder al sitio .onion. Es interesante señalar que door2tor.org, el nombre de dominio de uno de los nodos Tor2Web mencionados, se registró tan solo hace dos semanas. Quizá su único objetivo es permitir que las víctimas de TorrentLocker contacten el servidor que vende el software de descifrado:
A esta amenaza se le dio el nombre TorrentLocker porque usa la llave de registro de Windows correspondientes a la aplicación "Bit Torrent" para almacenar su configuración. No tiene ninguna relación con el protocolo BitTorrent.
El rastro de las Bitcoins
Como descubrieron en iSIGHT Partners, la variante australiana que analizaron exigía enviar las Bitcoins a 15aBFwoT5epvRK69Zyq7Z7HMPS7kvBN8Fg. En nuestro caso, la dirección para las bitcoins cambia a 13qm2ezhWSHWzMsGcxtKDhKNnchfP5Sp3X. Si observan las transacciones en ambos monederos, luego se transfieren a 17gH1u6VJwhVD9cWR59jfeinLMzag2GZ43.
A partir de marzo de 2014, este monedero de Bitcoin transfirió más de 82.272 bitcoins. Con el valor actual de 1 Bitcoin que equivale a 480 dólares, el total de transacciones asciende aproximadamente a 40 millones de dólares estadounidenses. Este monedero ya estuvo asociado a otros fraudes en el pasado, incluyendo el robo de monederos y la venta de hardware falso para extracción de Bitcoins. No sabemos si la banda de TorrentLocker es la propietaria de esta cuenta, o si se trata de algún tipo de servicio de intercambio utilizado por distintos grupos.

Captura de pantalla de un comentario en Hastalk (actualmente no está más en línea; recuperado de la caché de Google)
Las soluciones de seguridad de ESET detectan esta amenaza como Win32/Filecoder.NCC o Win32/Injector.
Hashes SHA-1
- 491C8276667074B502BD98B98C74E4515A32189B (exe)
- 46A2426D7E062E76D49707B58A5DF28547CBC0F4 (zip)
- 7C62651C5F4CB1C780C8E9C4692F3BF24208A61E (exe)
Traducción del post de Marc-Etienne M.Léveillé en We Live Security.