En un artículo que publicamos a mediados de 2018 hicimos un repaso por las 10 formas en las que puede comportarse un ataque de ransomware al infectar un sistema o equipo, según el comportamiento que hemos visto de distintas familias de este tipo de malware. En este sentido, el bloqueo del sistema, el cifrado de archivos, la combinación de estos dos últimos o el cifrado y la capacidad de robar billeteras de bitcoin, entre otros, son las formas más comunes de operar por esta clase de código malicioso. Sin embargo, recientemente se descubrió un nuevo ransomware (no se presenta bajo un nombre en particular) que no solo cifra los archivos del equipo infectado, sino que además intenta robar los datos de la tarjeta de crédito de la víctima al incluir una página de phishing que suplanta la identidad de PayPal.

Descubierto por el equipo de MalwareHunterTeam, en la nota que envían los actores maliciosos a la víctima ofrecen dos alternativas de pago por el rescate de sus archivos cifrados. Una es a través de bitcoins y la segunda es a través de PayPal. Por lo tanto, si un usuario infectado elige esta segunda opción, será dirigido hacia una página de phishing que simula ser la página oficial de PayPal. Una vez aquí, se intentará primero robar los datos de la tarjeta de crédito de la víctima, y luego las credenciales de acceso a la plataforma para realizar pagos y transferencias online.

Solicitud para confirmar los datos de la tarjeta de crédito de la víctima. Foto: @MalwareHunterTeam.

En una segunda instancia, los atacantes solicitan a través de la página de phishing confirmar los datos personales de la cuenta de PayPal. Foto:@MalwareHunterTeam.

Según explican los responsables del hallazgo a través de su cuenta de Twitter, una vez que la víctima completa los campos recibirá un mensaje indicando que los pasos se han realizado de manera exitosa y luego será redirigido a una falsa página de inicio de PayPal. Aquí, los atacantes esperan que la víctima coloque su nombre de usuario y contraseña para ingresar a su cuenta y de esta manera robar, no solo los datos de su tarjeta de crédito, sino también los de su cuenta.

Mensaje confirma que la cuenta se ha reestablecido de manera exitosa y que será redirigido a la página principal de PayPal para iniciar sesión. Foto:@MalwareHunterTeam.

Como siempre sucede, los atacantes están permanentemente en la búsqueda de alternativas para mejorar sus ataques y que sean más eficientes. Este ejemplo demuestra este accionar de los actores maliciosos. Por lo tanto, como siempre decimos, hay que estar atentos, aprender a reconocer las señales que nos indican que estamos ante un intento de estafa, y utilizar una solución de seguridad de confianza.