A los que caigan en la trampa se les pedirá un rescate de $ 1000 en Bitcoin a menos que provengan de países de habla rusa. Según lo informado por BleepingComputer, el investigador de seguridad “nao_sec” descubrió un sitio web malicioso que está distribuyendo muestras de una nueva variante del ransomware Nemty.
Los defraudadores están usando la aplicación de PayPal como cebo, atrayendo a víctimas desprevenidas a descargarlo de su canal y ganar hasta un 5% de lo que gastan en reintegros.
El sitio web fue hecho para verse exactamente como el portal oficial de PayPal, por lo que los visitantes que no noten la URL serán engañados y pensarán que han llegado a un canal legítimo de distribución de software.
El archivo malicioso que se ofrece para descargar se llama “cashback.exe”, y la mayoría de los navegadores advierten al usuario que el archivo que intentan descargar parece malicioso.
Si el usuario responde que confía en la fuente en el mensaje, recibirá una copia del ransomware Nemty en su sistema. Según los datos de VirusTotal, 32 de los 68 motores antivirus probados pierden el ejecutable malicioso, por lo que las posibilidades de que Nemty anide en el sistema host y cifre todos los archivos son inferiores al 50% si la víctima está usando una solución AV.
La variante Nemty que se usa en esta campaña es la versión número 1.4 y la cantidad de dinero que exigen los delincuentes es el equivalente a $ 1000 en Bitcoin.
Esta es la cantidad estándar que se ha visto pedir a los delincuentes que usan Nemty, mientras que el período de pago que se otorga a las víctimas es de 48 horas. Los países que están excluidos de la actividad de infección son Bielorrusia, Rusia, Kazajstán, Ucrania y Tayikistán. Si vives en uno de esos países, o el idioma de tu sistema está configurado en los idiomas correspondientes, estás a salvo de esta campaña.
