Instalan un ransomware que bloquea la máquina y pide $50.000 como rescate
Se están utilizando falsos instaladores de populares herramientas de inteligencia artificial (IA) como OpenAI ChatGPT e InVideo AI como señuelos para propagar diversas amenazas, como las familias de ransomware CyberLock y Lucky_Gh0$t, y un nuevo malware denominado Numero.
"El ransomware CyberLock, desarrollado con PowerShell, se centra principalmente en cifrar archivos específicos en el sistema de la víctima", declaró Chetan Raghuprasad, investigador de Cisco Talos, en un informe publicado ayer. "El ransomware Lucky_Gh0$t es otra variante del ransomware Yashma, la sexta iteración de la serie de ransomware Chaos, que presenta solo modificaciones menores en el binario del ransomware".
Numero, por otro lado, es un destructivo malware que afecta a las víctimas manipulando los componentes de la interfaz gráfica de usuario (GUI) de su sistema operativo Windows, dejando así las máquinas inutilizables.
La compañía de ciberseguridad dijo que las versiones legítimas de las herramientas de IA son populares en el ámbito de las ventas entre empresas (B2B) y el sector del marketing, lo que sugiere que los individuos y las organizaciones en estas industrias son el foco principal de los actores de amenazas detrás de la campaña.
Uno de estos sitios web falsos de soluciones de IA es "novaleadsai[.]com", que probablemente suplanta a una plataforma de monetización de leads llamada NovaLeads. Se sospecha que el sitio web se promociona mediante técnicas de envenenamiento SEO para mejorar artificialmente su posicionamiento en los buscadores.
A los usuarios que llegan al sitio web se les insta a descargar el producto afirmando que se ofrece acceso gratuito a la herramienta durante el primer año, con una suscripción mensual de $95 a partir de entonces. Lo que realmente se descarga es un archivo ZIP que contiene un ejecutable .NET ("NovaLeadsAI.exe") compilado el 2 de febrero de 2025, el mismo día en que se creó el dominio falso. El binario, a su vez, actúa como cargador para desplegar el ransomware CyberLock basado en PowerShell.
El ransomware está equipado para escalar privilegios y volver a ejecutarse con permisos administrativos, si no los tiene ya, y cifra los archivos ubicados en las particiones "C:\", "D:\" y "E:\" que coinciden con un determinado conjunto de extensiones. Luego deja caer una nota de rescate exigiendo que se realice un pago de $50.000 a dos billeteras en Monero en un plazo de tres días.
En un giro interesante, el actor de amenazas continúa afirmando en la nota de rescate que los pagos se destinarán a apoyar a mujeres y niños en Palestina, Ucrania, África, Asia y otras regiones donde "las injusticias son una realidad diaria".
"Les pedimos que consideren que esta cantidad es pequeña en comparación con las vidas inocentes que se están perdiendo, especialmente las de los niños que pagan el precio más alto", afirma la nota. "Desafortunadamente, hemos llegado a la conclusión de que muchos no están dispuestos a actuar voluntariamente para ayudar, por lo que esta es la única solución posible".
El último paso implica que el actor de amenazas emplee el binario LoLBin (cipher.exe) con la opción "/w" para eliminar el espacio de disco no utilizado disponible en todo el volumen con el fin de obstaculizar la recuperación forense de los archivos eliminados.
Talos dijo que también observó a un actor de amenazas distribuyendo el ransomware Lucky_Gh0$t bajo la apariencia de un falso instalador para una versión premium de ChatGPT.
"El instalador malicioso SFX incluía una carpeta que contenía el ejecutable del ransomware Lucky_Gh0$t con el nombre de archivo 'dwn.exe', que imita al ejecutable legítimo de Microsoft 'dwm.exe'", dijo Raghuprasad. "La carpeta también contenía herramientas legítimas de inteligencia artificial de código abierto de Microsoft, disponibles en su repositorio de GitHub para desarrolladores y científicos de datos que trabajan con inteligencia artificial, en particular dentro del ecosistema de Azure".
Si la víctima ejecuta el archivo de instalación SFX malicioso, el script SFX ejecuta la carga útil del ransomware. Lucky_Gh0$t, una variante del ransomware Yashma, ataca archivos de aproximadamente menos de 1,2 GB para su cifrado, pero no sin antes eliminar las instantáneas de volumen y las copias de seguridad.
La nota de rescate que aparece al final del ataque incluye una identificación de descifrado personal única e indica a las víctimas que se comuniquen con ellos a través de la aplicación de mensajería Session para solicitar el pago del rescate y obtener un descifrador.
Por último, pero no por ello menos importante, los actores de amenazas también están sacando provecho del creciente uso de herramientas de IA para sembrar el panorama en línea con un falso instalador de InVideo AI, una plataforma de creación de vídeos impulsada por IA, para implementar un malware destructivo cuyo nombre en código es Numero.
El instalador fraudulento funciona como un dropper con tres componentes: un archivo por lotes de Windows, un script de Visual Basic y el ejecutable de Numero. Al iniciarse el instalador, el archivo por lotes se ejecuta a través del shell de Windows en un bucle infinito, que, a su vez, ejecuta Numero y lo detiene temporalmente durante 60 segundos al ejecutar el script de VB mediante cscript.
"Tras reanudar la ejecución, el archivo por lotes finaliza el proceso del malware Numero y reinicia su ejecución", explicó Talos. "Al implementar el bucle infinito en el archivo por lotes, el malware Numero se ejecuta continuamente en el equipo víctima".
Numero, un ejecutable de Windows de 32 bits escrito en C++, comprueba la presencia de herramientas de análisis de malware y depuradores en los procesos en ejecución y sobrescribe el título, los botones y el contenido de la ventana del escritorio con la cadena numérica "1234567890". Se compiló el 24 de enero de 2025.
