Nov 18 2016

Falsos sitios de actualización de Flash Player han sido durante mucho tiempo un método de distribución más utilizado por programas publicitarios y otros programas no deseados. Hoy en día, un sitio de actualización de Flash falso fue descubierto por ExecuteMalware que está empujando el ransomware Locky. Cuando alguien visita el sitio que se le presentará una página que indica que el reproductor Flash no está actualizado y luego se descarga automáticamente un archivo ejecutable. Si se fijan bien en la dirección URL en la dirección del navegador se puede ver que el dominio de fl correo no parece estar bien escrito shupdate.com.

El ejecutable descargado automáticamente por este sitio se llama FlashPlayer.exe e incluye un icono del reproductor flash como se ve a continuación.

Si nos fijamos en las propiedades de este archivo, sin embargo, las cosas empiezan a parecer extraño.

En última instancia, si un usuario ejecuta este programa pensando que Flash se actualizará van a estar en una gran sorpresa. En lugar de una actualización de Flash Player, que en última instancia se le aparecen una nota de rescate Locky cuando el ransomware ha terminado el cifrado de archivos de la víctima.

La L ockyDump información para la variante Probé está por debajo. MalwareHunterTeam también vio una muestra utilizando un ID de socio de 19 años, que hasta donde sabemos, no se ha visto anteriormente.

Verbose: 0
The file is a PE EXE
affilID: 13
Seed: 9841
Delay: 30
Persist Svchost: 0
Persist Registry: 0
Ignore Russian Machines: 1
CallbackPath: /message.php
C2Servers: 85.143.212.23,185.82.217.29,107.181.174.34
RsaKeyID: 85D
RsaKeySizeBytes: 114
Key Alg: A400
Key: RSA1
Key Bits: 2048
Key Exponent: 10001

Como se puede ver, no son sólo los archivos adjuntos y explotan los kits empujando ransomware. Todo el mundo debe estar alerta y cuidado al navegar por la web. Además, las actualizaciones del programa sólo deben ser descargados de sus principales sitios de productos en lugar de los sitios 3 ª parte donde se tiene ni idea de lo que está instalando.

Fuente:

http://www.bleepingcomputer.com/news/security/locky-ransomware-being-distributed-through-fake-flash-player-update-sites/

VinDiesel es editor


VinDiesel a creado 1192 posts en Compartiendo Full.


Mensaje Privado
+2 Puntos Dar un voto NegativoDar un voto Positivo de 2 Votos
Loading...
Visitas 237


Un comentario hasta ahora...

  • Mensaje Privado

    2OZ


    Comento el 18th noviembre 2016 a las 8:30 pm: Reply to this comment

    gracias por la información. saludos

Deja un Comentario

Tu debes estar logueado para comentar este post.

Omaredomex