Una página web que pretende ofrecer una aplicación oficial de PayPal está difundiendo una nueva variante del ransomware Nemty a usuarios desprevenidos.
Parece que los operadores de este malware de cifrado de archivos están probando varios canales de distribución como se observó recientemente como una carga útil del kit de explotación RIG (EK).
La última aparición de Nemty se observó en una página falsa de PayPal que promete devolver un 3-5% de las compras realizadas a través del sistema de pago.
Varias pistas apuntan a la naturaleza fraudulenta de la página, que también es marcada como peligrosa por los principales navegadores, pero los usuarios aún pueden caer en el truco y proceder a descargar y ejecutar el malware, que convenientemente se llama ‘cashback.exe‘.
El investigador de seguridad nao_sec encontró el nuevo canal de distribución de Nemty y usó el entorno de prueba AnyRun para implementar el malware y seguir su actividad en un sistema infectado.
El análisis automatizado mostró que el ransomware tardó unos siete minutos en cifrar los archivos en el host víctima. Sin embargo, esto puede diferir de un sistema a otro.
Afortunadamente, el ejecutable malicioso es detectado por los productos antivirus más populares en el mercado. Un análisis en VirusTotal muestra que 36 de los 68 antivirus lo detectan.
A primera vista, la página web parece genuina ya que los ciberdelincuentes usaron imágenes y la estructura presente en la página original de paypal.
Para hacer este sitio falso creíble, los ciberdelincuentes también usan lo que se conoce como falsificación de nombres de dominio homográficos para enlaces a varias secciones del sitio (Ayuda y contacto, Tarifas, Seguridad, Aplicaciones y Tienda).
Los ciberdelincuentes lograron esto al usar en el nombre de dominio caracteres Unicode de diferentes alfabetos. Para distinguirlos, los navegadores los traducen automáticamente a Punycode. En este caso, lo que en Unicode se parece a paypal.com se traduce como ‘xn--ayal-f6dc.com’ en Punycode.
Nemty ransomware ha estado presente en foros de cibercriminales durante algún tiempo, pero apareció en el radar de la comunidad de los investigadores de seguridad a fines de agosto, cuando el investigador de seguridad Vitali Kremez publicó detalles de su análisis.
A fines de agosto, otro investigador de seguridad, Mol69, vio que Nemty se distribuía a través de RIG EK, lo que probablemente sea una elección extraña teniendo en cuenta que los kits de exploits están al borde de la extinción, ya que apuntan a productos que están en su lecho de muerte como son: Internet Explorer y reproductor de Flash.
Según Yelisey Boguslavskiy, de Advanced Intelligence, Nemty fue recibido con extremo escepticismo y agresión en un foro sobre cibercrimen, lo cual es normal en esa comunidad. Esto también puede influir en su éxito, que no es nada en comparación con el que disfruta actualmente el ransomware Sodinokibi.