Locky ransomware agrega funcionalidad anti-sandbox

El ransomware Locky ha estado muy activo desde su regreso como lo documentamos anteriormente . Hay varias campañas diferentes de Locky que están activas al mismo tiempo, el más grande es el del identificador asociado ID 3 que viene con CÓDIGO malévolo que contiene archivos adjuntos .VBS o .JS.

 

El investigador de Malwarebytes, Marcelo Rivero, descubrió un truco documentado anteriormente con el troyano Dridex empleado con un ID asociado de Locky 5 para evitar el análisis automatizado realizado a través de sandbox.

 

Los autores del malware han utilizado documentos de Office que contienen macros para ejecutar sus cargas útiles durante algún tiempo, pero normalmente el código se ejecuta tan pronto como el usuario hace clic en el botón “Habilitar contenido”. A efectos del análisis, muchos sandboxes de programas de seguridad tienen una configuración baja en varias aplicaciones y habilitan macros por defecto, lo que permite la captura automatizada de la carga útil malintencionada.

 


Golpea cuando menos lo esperas

Sin embargo, esta campaña de Locky en particular ya no se activa simplemente ejecutando la macro misma, sino que espera hasta que el documento falso de Word sea cerrado por el usuario antes para que comience a ejecutar un conjunto de comandos.

 

Regresar

CATEGORIES:

Noticias

Tags:

Comments are closed

Latest Comments

No hay comentarios que mostrar.
error: Contenido protegido
× Horario de Atención Lun-Vie 08:30-17:30

Si continúas utilizando este sitio aceptas el uso de cookies. más información

Los ajustes de cookies de esta web están configurados para «permitir cookies» y así ofrecerte la mejor experiencia de navegación posible. Si sigues utilizando esta web sin cambiar tus ajustes de cookies o haces clic en «Aceptar» estarás dando tu consentimiento a esto.

Cerrar