El popular sitio latinoamericano de animรฉ JKanime fue infectado la semana pasada para redirigir a sus visitantes hacรญa la landing page de un Neutrino EK, un kitย diseรฑado para esparcir el potente malware ย CryptXXXย , infame malware por ser usado para atacar y secuestrar informaciรณn para luego solicitar pagos en bitcoin a cambio de recuperarla.
Investigadores de la compaรฑรญa Forcepoint (subsidiaria de la compaรฑรญa Raytheon especializada en seguridad y defensa) revelaron la existencia del ataque esta semana. Segรบn el experto en seguridad de la empresa,ย Nicholas Griffin, los atacantes habrรญan insertado un script que incluรญa un archivo de JavaScript que al momento de cargar la pรกgina redirigรญa al usuario a la lading page de Neutrino.
La noticia del hackeo a JKanime es el รบltimo eslabรณn de una oleada de infecciones y ataques de virus que incluyen una campaรฑa que ha buscado distribuir el CryptXXX desde inicios de abril, ello segรบn investigadores de Palo Alto Networks, empresa de software estadounidense. La secuencia de ataques e infecciones ha tenido grandes hitos en los รบltimos meses, como por ejemplo el ataque a VK y a MySpace.
Forcepoint asegurรณ que JKanimeย ya no se encuentra afectado por el ataque y que continuarรก funcionando con normalidad. No obstante, manifestรณ su preocupaciรณn por el amplio espectro de distribuciรณn que puede haber tenido el virus. ยซSi sรณlo el 1% de los usuarios que tuvo el sitio durante este mes se vio afectado, ya eso representa una cantidad monumental de casosยป asegurรณ Griffin y aรฑadiรณ: ยซTampoco estรก garantizado que CryptXXX haya sido el virus que afectรณ a cada usuario infectado, pero es seguro que es el principal malware primario de todo esta operaciรณnยป.
Recompensa en Bitcoins
Segรบn explica el reporte del Instituto ย SANS, CryptXXX cifra los archivos almacenados localmente, asรญ como dispositivos de almacenamiento conectados. La versiรณn mรกs reciente CryptXXX, 3.1, escanea el puerto 445 para los recursos compartidos de red y resguardaย los archivos almacenados allรญ.
El proceso de contagio funciona al hacer que un usuario llegue a un sitio web que encripta los datos del usuario. Esto puede hacerse de muchas formas, ya sea conduciendo al usuario a la pรกgina a travรฉs de enlaces enviados al correo electrรณnico al estilo spam o redirigiendo enlaces a la pรกgina con el virus (que fue el caso de JKanime). A partir de ahรญ ย el virus es capaz de arrebatarle datos a los usuarios.
Una banda de hackers conocida como el Equipo de Caridad (The Charity Team en inglรฉs) viene haciendo uso de este virus para secuestrar datos y demandar pagos en bitcoin como recompensa por devolverlos. En los correos enviados a las vรญctimas de estos ataques, el grupo de hackers alega que usarรก el dinero para obras benรฉficas a favor de niรฑos, motivo por el queย han recibido el nombre que portan.