El sitio falso de la aplicación PayPal infecta a la víctima con Nemty Ransomware

  • Los actores crean sitios atractivos de PayPal y prometen un retorno de la inversi√≥n de entre 3% y 5%
  • El archivo ejecutable descargado por las v√≠ctimas no es la aplicaci√≥n PayPal, sino una variante del ransomware Nemty.
  • Aquellos que caigan en la trampa recibir√°n un rescate de Bitcoin de $ 1,000, a menos que sean de pa√≠ses de habla rusa.
  • Seg√ļn lo informado por BleepingComputer, el investigador de seguridad “nao_sec” descubri√≥ un sitio web malicioso que comparte ejemplos de una nueva variante del ransomware Nemty. Los actores usan la aplicaci√≥n PayPal como cebo y atraen a v√≠ctimas inocentes para descargarlas de sus canales y hasta el 5% de sus devoluciones. El sitio fue dise√Īado para parecerse exactamente al portal oficial de PayPal, de modo que los visitantes que no entienden la URL deben creer que han llegado a un canal de venta de software leg√≠timo.

    Sitio web falso de Paypal -> #NEMTY Ransomware (CC: @malware_traffic, @jeromesegura, @VK_Intel, @BleepinComputer) https://t.co/YC7pVMSFwm pic.twitter.com/yzakaFEzi0

    – nao_sec (@nao_sec) 7. septiembre 2019

    El archivo malicioso descargable se llama “cashback.exe”. La mayor√≠a de los navegadores advierten al usuario que el archivo que se est√° descargando se ve mal. Si el usuario responde en el s√≠mbolo del sistema que conf√≠a en la fuente, recibir√° una copia del ransomware Nemty en su sistema. Seg√ļn los datos de VirusTotal, el ejecutable malicioso es ignorado por 32 de los 68 motores antivirus probados, por lo que la probabilidad de que Nemty anide en el sistema host y todos los archivos cifrados es de menos del 50% si la v√≠ctima tiene un antivirus en el primer caso. La soluci√≥n usa el lugar.

    La variante Nemty utilizada en esta campa√Īa tiene la versi√≥n n√ļmero 1.4, y la cantidad de dinero reclamada por los actores es equivalente a un equivalente de $ 1,000 en Bitcoin. Esta es la cantidad est√°ndar que solicitan los delincuentes que usan Nemty, mientras que el per√≠odo de pago otorgado a las v√≠ctimas es de 48 horas, tambi√©n una cantidad est√°ndar. Los pa√≠ses excluidos de la actividad de infecci√≥n son Bielorrusia, Rusia, Kazajst√°n, Ucrania y Tayikist√°n. Si vive en uno de estos pa√≠ses o el idioma del sistema est√° configurado en los idiomas apropiados, est√° a salvo de esta campa√Īa, pero no espera un retorno del 5% de sus gastos.

    Verificación de exclusión para países con países de origen Fuente: Vitali Kremez | Twitter

    Si est√° infectado con una variante de Nemty, ver√° que todos sus archivos tienen la extensi√≥n “.nemty”. Si ese es el caso, no pague a los actores porque no tiene garant√≠a de que recuperar√° sus archivos. Spy Hunter 5, Malwarebytes y Reimage pueden eliminar todos los rastros de Nemty de su sistema. Por lo tanto, elim√≠nelos antes de comenzar a restaurar las copias de seguridad. Nemty es muy persistente y si no elimina todos los componentes, sus archivos se cifrar√°n nuevamente. Si desea recibir la aplicaci√≥n oficial de PayPal, solo puede encontrarla en “paypal.com” o en las tiendas de aplicaciones oficiales de su plataforma.

    ¬ŅUtiliza la aplicaci√≥n PayPal o simplemente visita el sitio para todo? H√°ganos saber en los comentarios a continuaci√≥n o en nuestras redes sociales Facebook y Twitter.