El ransomware Zeppelin regresa con un nuevo troyano a bordo

Los investigadores de Juniper Threatlab detectaron una ola de ataques en agosto, haciendo uso de un nuevo descargador de troyanos.

Estos, como una ola inicial de Zeppelin observada a fines de 2019, comienzan con correos electrónicos de phishing con archivos adjuntos de Microsoft Word (con el tema de «facturas») que tienen macros maliciosas a bordo. Una vez que un usuario habilita las macros, comienza el proceso de infección.

En la última campaña, se ocultan fragmentos de scripts de Visual Basic entre texto basura detrás de varias imágenes. Las macros maliciosas analizan y extraen estos scripts y los escriben en un archivo en c: \ wordpress \ about1.vbs.

Luego, una segunda macro busca la cadena «winmgmts: Win32_Process» dentro del texto del documento y la usa para ejecutar about1.vbs desde el disco. About1.vbs es el descargador de troyanos antes mencionado, que finalmente descarga el ransomware Zeppelin en la máquina de la víctima.

El binario duerme durante 26 segundos “en un intento de esperar más que el análisis dinámico en una caja de arena automatizada y luego ejecuta el ejecutable ransomware”, según el análisis publicado recientemente . «Al igual que con las versiones anteriores, el ejecutable de Zeppelin verifica la configuración de idioma de la computadora y la geolocalización de la dirección IP de la víctima potencial para evitar infectar computadoras en Rusia, Bielorrusia, Kazajstán y Ucrania».

En cuanto a la atribución, según una investigación anterior de Vitali Kremez, Zeppelin es un código simple que se distribuye a través de una empresa afiliada: el malware se genera a través de un asistente de GUI y se ofrece a los distribuidores a cambio de una participación en los ingresos.

La última campaña ha afectado a alrededor de 64 víctimas y objetivos conocidos, señalaron los investigadores de Juniper, lo que indica un cierto nivel de orientación. Es posible que haya comenzado el 4 de junio, cuando se registró el servidor de comando y control (C2) que utiliza el malware; y los datos de DNS pasivos muestran que se ejecutó al menos hasta el 28 de agosto; El 28 de agosto es la resolución de nombres más reciente para el dominio C2, según los datos de DNS pasivos.

Zeppelin es una variante de la familia ransomware-as-a-service (RaaS) basada en Delphi inicialmente conocida como Vega o VegaLocker, que surgió a principios de 2019 en anuncios en Yandex.Direct, con sede en Rusia, según BlackBerry Cylance . A diferencia de su predecesor, Zeppelin está mucho más dirigido y primero apuntó a empresas de tecnología y atención médica específicas en Europa y EE. UU.