El exploit Angler se actualiza y ahora permite el robo de contraseñas previo al cifrado de datos con Cryptowall 4

Los expertos en seguridad han alertado de la presencia de una nueva versión de esta amenaza disponible en sitios web y que es más peligrosa. El exploit Angler ha visto incrementada su funcionalidad y a partir de ahora además de cifrar los datos que se encuentran en el equipo afectado realiza el robo de las credenciales introducidas.

Antes los propietarios de esta amenaza se conformaban con cifrar la información de los equipos Windows (hay que recordar que solo afectan a esta familia de sistemas operativos) y solicitar una recompensa para permitir de nuevo el acceso a esta. Sin embargo, esto ha cambiado por completo y ahora además de realizar esta se procede con anterioridad al robo de todas las contraseñas almacenadas en el equipo o que se introducen, centrándose sobre todo en aquellas que pertenecen a redes sociales, servicios de mensajería y banca en línea.

Evidentemente para realizar estas acciones se deben utilizar dos malware o uno que posea ambas funciones. En esta ocasión los ciberdelincuentes se han decantado por una copia de Pony para proceder al robo y de CryptoWall 4.0 para cifrar los datos.

Utilizan un PDF falso para distribuir el malware Pony

El nuevo y peligroso Cryptowall 4.0 empieza a distribuirse junto al Nuclear Exploit Kit
En el caso del primero, siempre se ha distribuido haciendo uso de correos spam con el instalador adjunto al contenido, siendo la primera vez que se detecta su distribución haciendo uso de un exploit. En el caso del segundo, podría decirse que se han utilizado todos los métodos disponibles, desde exploits hasta aplicaciones falsas o modificadas que contienen el código del instalador.

Cómo evitar verme afectado por el exploit Angler
La mayoría de las veces este exploit se distribuye haciendo uso de correos electrónicos, por lo que resulta fundamental no ejecutar los archivos adjuntos ni acceder a direcciones web desconocidas contenidas en estos. También hay que mantener nuestro equipo al día en lo referido a las actualizaciones, así como el navegador web y la herramientas de seguridad. Sin embargo, ya se sabe que en este tipo de circunstancias todo consejo es poco, así que conviene disponer de una copia de seguridad para recuperar los datos de una forma mucho más sencilla.

¿Qué debo hacer si ya se está infectado?

Si ya estás infectado y tus archivos cifrados, es probable que si has tecleado unas credenciales en el navegador web también hayan sido objeto de robo. Por lo tanto, lo primero que es recomendable hacer es modificar la contraseñas de todos aquellos servicios que sean susceptibles a sufrir un uso no autorizados de la cuenta. Con respecto al tema de la información cifrada, tenemos dos opciones: eliminar de forma adecuada el exploit y restaurar los datos gracias a una copia de seguridad, o bien realizar el formateo del equipo y rescatar los datos de una copia, si es que la hemos realizado a tiempo.

Ver mas información al respecto en Fuente: http://www.redeszone.net/2015/12/04/el-exploit-angler-se-actualiza-y-ahora-permite-el-robo-de-contrasenas-y-el-cifrado-de-datos/#sthash.tZUQJEOx.dpuf

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies