Locky ransomware agrega funcionalidad anti-sandbox

El ransomware Locky ha estado muy activo desde su regreso como lo documentamos anteriormente . Hay varias campañas diferentes de Locky que están activas al mismo tiempo, el más grande es el del identificador asociado ID 3 que viene con CÓDIGO malévolo que contiene archivos adjuntos .VBS o .JS.

 

El investigador de Malwarebytes, Marcelo Rivero, descubrió un truco documentado anteriormente con el troyano Dridex empleado con un ID asociado de Locky 5 para evitar el análisis automatizado realizado a través de sandbox.

 

Los autores del malware han utilizado documentos de Office que contienen macros para ejecutar sus cargas útiles durante algún tiempo, pero normalmente el código se ejecuta tan pronto como el usuario hace clic en el botón “Habilitar contenido”. A efectos del análisis, muchos sandboxes de programas de seguridad tienen una configuración baja en varias aplicaciones y habilitan macros por defecto, lo que permite la captura automatizada de la carga útil malintencionada.

 


Golpea cuando menos lo esperas

Sin embargo, esta campaña de Locky en particular ya no se activa simplemente ejecutando la macro misma, sino que espera hasta que el documento falso de Word sea cerrado por el usuario antes para que comience a ejecutar un conjunto de comandos.

 

Regresar