Crean ransomware ejecutable en Pokémon Go

129 0

TeraGames / InsurgentePress, Ciudad de México.- Seguro que durante el último año te has percatado de la escalada que ha experimentado un tipo de malware: el ransomware. Un tipo de ataque que no solo ha ganado popularidad sino que también ha sabido reinventarse hasta tal punto que actualmente amenaza con convertirse en un problema multimillonario.

Un contexto en el que, aprovechando la fiebre en torno a este juego, no ha tardado en aparecer Pokémon GO ransomware, un software malicioso descubierto por el investigador de seguridad Michael Gillespie y que, si bien todavía se encuentra en pleno desarrollo, prepara una campaña de distribución que podría causar mucho daño, especialmente si tenemos en cuenta la cantidad de fans que tiene la aplicación.

Así y según indica el analista, los creadores de este ransomware están distribuyendo la amenaza como un ejecutable de Windows llamado PokemonGO.exe, un archivo que incluye un icono de Pikachu y cuyo objetivo es el de confundir a las víctimas. Aunque no se ha especificado, se sobreentiende que se hace pasar por un instalador del juego en cuestión.

Al hacer clic en el ejecutable se inicia el proceso de cifrado y se crea una cuenta de administrador en su ordenador, que se llama Hackr3r y que se queda oculto inmediatamente. Una cuenta que podría dar acceso al atacante como puerta trasera del equipo y que es la que le permitiría controlar el secuestro de datos del PC.

Lo peor es que está diseñado de tal forma –crea una copia en cada unidad- que, aunque la detectes y la borres, el archivo se vuelve a ejecutar con cada reinicio. De hecho, incluso busca las unidades extraíbles y se copia allí también. ¿El objetivo? Asegurar su supervivencia.

Los investigadores, por otra parte, afirman que la anterior descripción es tan solo el principio y que este ransomware se encuentra en pleno desarrollo y que se trata de una versión de prueba. La razón es que el sistema de cifrado del ransomware utiliza una clave estática, 124vivalalgerie y que intenta conecarse a un servidor C&C ubicado en la dirección IP 10.25.0.169, a la que no se puede acceder desde Internet, son que pertenece a un servidor local.

Además, actualmente la pantalla de rescate del ransomware solo está disponible en árabe. Lo más probable es que en un futuro no muy lejano aparezcan otras variantes de este ransomware que sigan solicitando a las víctimas ponerse en contacto con el hacker a través del correo electrónico blackhat20152015@gmail.com.