Malware 2020
Este artículo nace de no conseguir subir dos imágenes a Linkedin, me parecía tan extraño que sí las pudiera subir a Twitter que la cosa ha ido a más y lo he transformado en una noticia, ya que es importante hacerlo saber. El pasado día 13 de enero de 2020 recibo un correo a una de mis cuentas, una de tantas, y me llama la atención que en el cuerpo del mensaje se indica que es un archivo con contraseña. Eso, quiera que no, es raro, muy raaaro. Veo el remitente, una tal Michelle Martin, nombre genérico que, desde luego, ni me suena.
Ardía en deseo de abrirlo, pero sabía con toda seguridad que se trataba de un malware (además, 1.5 MB debía ser algo apoteósico).
Monté en Virtual Box una máquina virtual con Ubuntu, y desde él accedí a la cuenta de correo, descargando el zip. También tenía la corazonada que sólo sería para Windows, por lo que lo descomprimí sin lugar a dudas , con la contraseña que me proporciona en el correo -2020- y me encontré, cómo no, un archivo de extensión SCR.
OJO que todas las advertencias que hemos transmitido hasta ahora es sobre archivos DOC y XLS. En este caso, la cosa cambia y muy posiblemente tenga repercusiones importantes.
Este tipo de archivos son de script, es decir, algo fácil de ejecutar en un entorno Windows, normalmente son instrucciones sencillas en texto plano, y jamás llegan a ocupar tanto. Imagina por un momento llenar un archivo de texto con 1.5 MB… Vamos, una locura.
Así que, lejos de ejecutarlo – en Ubuntu no sería posible –, lo abro con lo único que tengo a mano, gedit (ya conocéis lo aficionado que soy a abrir archivos con lo más sencillo que se puede tener, un editor de notas), y al cabo de un rato, me muestra su contenido. Lo primero, su cabecera, indicando qué tipo de archivo es: MZ
Los MZ son archivos ejecutables, normalmente EXE o DLL. En este caso seguro que es un EXE porque para ejecutar un DLL necesitas un recurso del sistema operativo y lo que se trata es que te infectes nada más lo ejecutes, así que por descarte es un EXE.
En la imagen adjunta (perdón por los colores), podéis ver que unas líneas más adelante aparece la manida frase de “This program cannot be run in DOS mode”, es decir, es para Windows sí o sí.
A continuación, instalo en otra máquina virtual un Windows 10 de sacrificio, es decir, su misión es sucumbir a la ejecución de dicho programa, y vemos qué ocurre.
En un máquina con Windows 10 Home, procedo a hacer la misma operación que la realizada en Ubuntu, accediendo al correo desde Edge y descargando el archivo. Meto algún documento en el Escritorio, para que pueda el virus recrearse por completo, y por supuesto desconecto la red local, para que no pueda llegar a ninguna parte de mi propia red.
Antes de ejecutar, veo el archivo en cuestión:
Ahí Windows 10 lo identifica como «Protector de pantalla», un poco grande para mi gusto.
Ejecuto y me salta el Smart Screen:
Como cualquier usuario pulsaría, ejecuta sin más, quiere ver el protecto de pantalla tan bonito que le ha enviado Michelle.
Parece que no pasa nada, aparece un archivito donde he pulsado, pero me voy a donde tengo el zip que me he descargado, y ¡¡¡¡sorpresa!!!
Qué bonito…
Abro el ako-readme, a ver qué dice:
Ya no tenemos una dirección de bitcoin, sino que nos mandan a la Dark Net (obsérvese la dirección terminada en .onion) y seguramente, introduciendo la llave mostrada, te cobrarán de alguna manera…
Así que hay que avisar a todo el mundo, nada de abrir archivos SCR, tened los antivirus actualizados, copias de seguridad de todos los archivos… Llegad a todos, yo sólo soy un ingeniero (y para colmo, en paro) y no puedo avisar a todos de esta nueva forma de secuestro de nuestros datos.
Gracias por leerme.