Los hackers están utilizando una falsa actualización de Windows 10 para instalar ransomware Cyborg

¡Usuarios de Windows, cuidado! Un correo electrónico falso que dice ser de Microsoft sobre una actualización de Windows se está utilizando para infectar dispositivos con ransomware.

Investigadores de seguridad de SpiderLabs de Trustwave que detectaron la campaña de correo electrónico malicioso descubrieron que los correos electrónicos falsos están empujando a las personas a instalar una “actualización crítica” de Windows 10 en sus computadoras.

El asunto del correo electrónico dice “¡Instala la última actualización de Microsoft ahora!” o “¡Actualización crítica de Microsoft Windows!” El mensaje en el correo electrónico contiene solo una línea que dice: “Por favor, instala la última actualización crítica de Microsoft adjunta a este correo” y un archivo adjunto.

Curiosamente, el archivo “actualización” adjunto está disfrazado como un archivo .jpg que no es una imagen, sino en realidad un descargador ejecutable .NET. Esto, a su vez, descargó un segundo archivo ejecutable alojado en GitHub, propiedad de Microsoft.

“El archivo bitcoingenerator.exe será descargado de misterbtc2020, una cuenta de GitHub que estuvo activa durante unos días durante nuestra investigación, pero que ahora ha sido eliminada”, dijo Diana Lopera de Trustwave en una publicación de blog.

“Está contenido bajo su repositorio btcgenerator. Al igual que el adjunto, este es malware compilado en .NET, el ransomware Cyborg.”

El típico ransomware Cyborg que solicita bitcoin luego encripta todos los archivos en la máquina de la víctima, bloqueando su contenido y también renombrando todos los archivos con una extensión .777. Además, se coloca una nota de rescate titulada “Cyborg_DECRYPT.txt” en el escritorio de la víctima pidiendo US$500 en bitcoin para desbloquear los archivos del sistema.

Cuando los investigadores buscaron el nombre de archivo original del ransomware, lo obtuvieron y lo buscaron en VirusTotal. Encontraron tres muestras más y descubrieron que existe un constructor para el ransomware en línea. Además, descubrieron que el ransomware Cyborg se promociona a través de un video de YouTube que enlazaba al constructor que estaba alojado en GitHub.

“La cuenta de GitHub Cyborg-Ransomware también fue creada recientemente. Contiene dos repositorios: Cyborg-Builder-Ransomware y Cyborg-Russian-version”, escribió Lopera.

“El primer repositorio tiene los binarios del constructor de ransomware, mientras que el segundo contiene un enlace a la versión rusa del constructor alojado en otro sitio web.”

Lopera explicó por qué el ransomware Cyborg es un verdadero peligro tanto para empresas como para individuos al decir: “El ransomware Cyborg puede ser creado y propagado por cualquiera que obtenga el constructor. Puede ser enviado como spam utilizando otros temas y ser adjuntado en diferentes formas para evadir las puertas de enlace de correo electrónico. Los atacantes pueden crear este ransomware para usar una extensión de archivo de ransomware conocida para engañar al usuario infectado sobre la identidad de este ransomware.”

Aunque la cuenta de GitHub asociada ha sido eliminada desde entonces, es importante que los usuarios de Windows recuerden que Microsoft nunca envía parches a sus sistemas operativos por correo electrónico.

Además, se recomienda que los usuarios que reciban correos electrónicos similares los eliminen de inmediato. También se aconseja no abrir ningún archivo adjunto o enlaces de fuentes desconocidas o no confiables.