La semana pasada, ESET informó que el troyano Nemucod, en vez de descargar ransomware, estaba comenzando a descargar el malware Kovter, un clicker de avisos publicitarios. Ahora, parecería que los operadores del downloader dieron otro paso más y directamente comenzaron a distribuir entre sus víctimas el paquete completo: una combinación de ransomware y clickers publicitarios.

Se descargan cinco archivos a la vez: dos clickers y tres que buscan cifrar archivos

El mecanismo sigue siendo igual: el usuario objetivo recibe un correo electrónico con un archivo adjunto infectado que contiene un ejecutable .js, es decir, el downloader. Una vez que el usuario lo desempaqueta y ejecuta, descarga cinco archivos a la vez. Los dos primeros son clickers publicitarios detectados por ESET como Win32/Kovter y Win32/Boaxxe.

Pero ese es solo el comienzo, ya que los tres archivos restantes tienen un objetivo bien concreto: encontrar los archivos más valiosos del equipo infectado y cifrarlos. Para ejecutar el ransomware, Nemucod instala un intérprete de PHP y una biblioteca PHP adicional (estos dos archivos en realidad no están infectados). Recién cuando se descarga el tercer archivo (detectado por ESET como PHP/Filecoder.D), inicia sus actividades maliciosas, mediante el uso de una clave de cifrado codificada en forma rígida en el mismo malware.

Como resultado, los archivos cuya extensión coincide con una de las aproximadamente 120 extensiones buscadas (incluyendo archivos de MS Office, imágenes, videos, archivos de sonido, entre otros) se cifran y se les agrega la extensión ".crypted". Una vez que el ransomware terminó de cifrar los archivos deseados, Nemucod crea un documento de texto con un pedido de rescate. Al final, el intérprete de PHP, su biblioteca y el archivo filecoder se eliminan del sistema.

En cuanto al resto del payload, Boaxxe es un backdoor controlado en forma remota capaz de descargar y ejecutar archivos, o instalar extensiones para los navegadores más populares, como Chrome y Firefox. Además de esto, el troyano se conecta a un servidor de C&C que le permite a su operador usar indebidamente la máquina infectada como servidor proxy, probablemente como medio para llevar a cabo el fraude de hacer clics en anuncios publicitarios, o para impulsar el tráfico en los sitios web seleccionados.

Hacia fines de la semana pasada, se observó otra actividad interesante de Nemucod en América Latina. El downloader estaba entregando una gran cantidad de troyanos bancarios Win32/Spy.Banker.ADEA a usuarios brasileros, por lo que podemos concluir que sus operadores están activos.

Hashes

b0be940019e2adf0032532e537635a4e4e0e8ba33d45c9d2cf0a10068e6598dc a25fc09072a64fcbd73106cefb7e2d621a91cfe1f07651e816f85e8a6a5aa6ea 4ed142ac450d0ea86e0e31c46b1ca928bde991a7432dd6a0c2c3d79833ccac95 401901b995f8aaa07c6a9490ec7b320cac95baf9cd3c94c644d14fe3bec0ddac fe7d4052d937d85401fc6ed539904d0b97cd4306961c9861a643fed51b6bdc93