Los delincuentes que utilizan el ransomware para ganar dinero a costa de sus v\u00edctimas no paran de utilizar nuevas estrategias o modificar las existentes para conseguir que el n\u00famero de infecciones no decaiga. Partiendo de la base de que muchos de los archivos maliciosos que contienen variantes de ransomware se propagan mediante ficheros adjuntos a correos con un asunto m\u00e1s o menos llamativo, hay que reconocer que estos delincuentes se exprimen el cerebro para conseguir que sus cebos sigan siendo igual de llamativos.<\/p>\n
Este es el caso de Fantom, un ransomware descubierto a finales del mes pasado por el investigador Jakub Kroustek<\/a> que destaca no tanto por sus mecanismos de cifrado, sino por la estrategia usada para conseguir que el usuario ejecute el fichero malicioso. En esta ocasi\u00f3n, los delincuentes han optado por usar un archivo ejecutable camuflado como actualizaci\u00f3n cr\u00edtica de Windows, algo que puede llegar a enga\u00f1ar a m\u00e1s de un usuario despistado.<\/p>\n Hay que reconocer que han puesto bastante empe\u00f1o en intentar conseguir que este fichero pase por uno leg\u00edtimo, puesto que se han molestado incluso en editar las propiedades del fichero para que si alguien lo revisa, aparezca como que proviene de Microsoft y se trata de una actualizaci\u00f3n cr\u00edtica, tal y como podemos ver en la captura realizada por los investigadores de\u00a0Bleeping Computer<\/a>.<\/p>\n Si Fantom logra convencer a su v\u00edctima de que se trata de un archivo leg\u00edtimo y esta lo ejecuta, lo primero que har\u00e1 este ransomware es iniciar un proceso que muestra una falsa pantalla de actualizaci\u00f3n de Windows. Mientras el usuario est\u00e1 viendo c\u00f3mo se realiza la supuesta actualizaci\u00f3n no se le permite cambiar de aplicaci\u00f3n, algo que ayuda a hacer m\u00e1s cre\u00edble el hecho de que se trata de un proceso leg\u00edtimo de actualizaci\u00f3n.<\/p>\n Mientras este proceso est\u00e1 ejecut\u00e1ndose mostrando esta falsa pantalla de actualizaci\u00f3n, el ransomware aprovechar\u00e1 para cifrar los archivos del sistema. A pesar de que es posible cerrar la ventana que muestra el proceso de instalaci\u00f3n de actualizaciones, esto no detendr\u00e1 el cifrado de los archivos, puesto que se trata de dos procesos diferentes.<\/p>\n Una vez se han terminado de cifrar los archivos almacenados en el sistema con las extensiones definidas por el ransomware, este cambiar\u00e1 el fondo de pantalla por una imagen propia para que el usuario se d\u00e9 cuenta de lo que acaba de pasar y proceda a solicitar informaci\u00f3n de las direcciones de correo proporcionadas.<\/p>\n Si bien no se ha detectado una propagaci\u00f3n masiva de esta variante de ransomware, el uso de una actualizaci\u00f3n falsa de Windows como cebo para convencer a la v\u00edctima es bastante ingeniosa. De hecho, demuestra una vez m\u00e1s que muchas veces la complejidad del malware queda en segundo plano frente al uso de la ingenier\u00eda social a la hora de conseguir que un usuario ejecute un fichero que no debe.<\/p>\n V\u00eda Eset\u00a0NOD32<\/strong><\/a><\/p>\n Puedes contactar con nosotros mediante este formulario<\/a><\/strong> o en el 988 25 40 23<\/strong> o en info@semsin.es<\/strong><\/p>\n","protected":false},"excerpt":{"rendered":" Los delincuentes que utilizan el ransomware para ganar dinero a costa de sus v\u00edctimas no paran de utilizar nuevas estrategias o modificar las existentes para…<\/p>\nCIFRADO DE LOS ARCHIVOS<\/strong><\/h5>\n
CONCLUSI\u00d3N<\/strong><\/h5>\n