Ransomware GandCrab se oculta en imagen de Super Mario

Investigadores de Bromium descubren una hoja de Excel maliciosa que genera un comando de PowerShell, a partir de píxeles que forman la imagen de Super Mario Bros. Cuando se ejecuta, descarga e instala el peligroso ransomware GandCrab. El ataque va dirigido a usuarios que se encuentran en Italia y llega a través de un correo electrónico que simula ser una aviso de pago.

El archivo llega con nombres similares a ‘F.DOC.2019 A 259 SPA.xls’. Si se abre, pide al usuario habilitar contenido para ver el documento correctamente. Luego, se activan los macros que verifican si el computador está configurado para usarse en Italia. Si es así, se descarga la imagen de Mario. El script extraerá varios píxeles para reconstruir y ejecutar un comando de PowerShell, el cual descargará malware desde un sitio remoto, que a su vez, instala el ransomware GandCrab.

Si el computador no está configurado para usarse en Italia, aparece una hoja de cálculo y no ocurre nada más.

GandCrab es un RaaS (Ransomware as a Service); servicio que se puede contratar y distribuir de forma oculta.

Se recomienda lo siguiente:

- Nunca abrir un archivo adjunto en un correo, antes de asegurarse que viene de una fuente confiable.

- Escanear todos los archivos adjuntos, antes de abrirlos, con un antivirus que detecte comportamientos para combatir los ransomwares.

- Sospechar de un archivo que solicita habilitar macros. Nunca seguir la instrucción de habilitarlos.

- Mantener una buena estrategia de respaldo de información.

- Generar una regla personalizada para bloqueos de IOC’s en perfiles entrantes perimetrales.

- Actualizar los equipos con Windows y Office a las últimas versiones.

- Configurar de manera más estricta el anti spam.