WIPALL, el malware que robó los datos de los equipos de Sony Pictures ya afecta a usuarios particulares

Escrito por Adrián Crespo
Seguridad
0

Apenas ha pasado una semana desde que salió a la luz la noticia y los ciberdelincuentes ya han decidido emplear el malware que se utilizó para robar los datos de los ordenadores de Sony Pictures contra usuarios particulares. Algunos correos spam analizados contenían la variante utilizada en dicho ataque, llamada WIPALL, una aplicación maliciosa perteneciente a una familia bastante amplia de virus informáticos.

Hasta el momento, solo se sabe que se está distribuyendo sobre todo haciendo uso de correos electrónicos, afectando a Europa y Estados Unidos, aunque la tasa de infección en el primero de los casos es ínfima, y solo habría que destacar apenas una docena de casos en algunos países nórdicos. Sin embargo, en Estados Unidos esta es mucho mayor y además de los usuarios particulares también se están viendo afectados empleados de grandes compañías. La finalidad de este malware es una: robar los datos almacenados en los equipos. Sin embargo, después de realizar dicha acción la siguiente tarea es eliminar por completo el disco duro, y por lo tanto, que el usuario pierda los datos almacenados.

Sin lugar a dudas es con este tipo de virus cuando somos conscientes lo importante que resulta disponer de una copia de seguridad de la información de nuestro equipo.

Permisos de administrador e instalarse de forma persistente en el equipo

Desde Trend Micro han tenido la oportunidad de analizar parte del funcionamiento de una de las copias de este virus, concretando que en primer lugar se produce la descarga de WIPALL, pero que no es el único archivo que se descarga, ya que posteriormente se realiza la descarga de BKDR_WIPALL.B. Desconocen la finalidad del primero de los ejecutables, aunque se cree que sería una especie de archivo lanzadera para comprobar la existencia de herramientas de seguridad en el equipo infectado.

WIPALL cadena de archivos

Después de realizar la descarga del segundo se buscan permisos de administrador para este y se comienza a instalar en el equipo de forma persistente, ejecutándose cada vez que un usuario de dicho equipo inicie sesión. La primera misión es detener cualquier sistema de sincronización o backup que se encuentre activo. Posteriormente permanece inactivo durante aproximadamente 10-15 minutos, comenzando a borrar las carpetas y sus archivos de forma gradual.

Por el momento no se sabe en qué momento se realizaría el envío de la información contenida en el equipo a un servidor remoto, si es que esta acción es realizada.

Se desconoce la autoría de esta oleada de correos

Teniendo en cuenta que en el caso del hackeo masivo realizado a los equipos de la filial de Sony la responsabilidad se atribuyó a Guardians of Peace, todo parece apuntar en un principio que ellos han sido los responsables de esta oleada. Sin embargo, el grupo de hackers ubicados en Corea aún no se han pronunciado, por lo tanto es un aspecto que aún queda en el aire.

Fuente | Softpedia