El phishing es una de las amenazas más peligrosas a las que se enfrentan los usuarios cuando navegan por Internet, ya que pueden abrir sin querer enlaces en su correo electrónico que le lleven a páginas web que se parezcan tanto a las reales que introduzcan las credenciales de acceso, dándoselas al hacker. Sin embargo, a ese tipo de webs ahora hay que sumarle una nueva amenaza: una que se hace pasar por PayPal y que mete ransomware en tu ordenador.

Nemty: el ransomware que te instala esta web falsa que se hace pasar por PayPal

Esta página web es una muy buena copia de la PayPal, y algunos usuarios están viéndose infectados por una nueva variante del ransomware Nemty. La página web falsa usa como cebo para los usuarios el pagarles supuestamente entre un 3 y un 5% del dinero que utilicen para realizar compras a través de esa web.

En la web ofrecen el cashback de entre 3 y 5%, y te dicen que tienes que descargar una aplicación para poder recibir ese dinero. Si pulsas en descargar, la web descarga un archivo llamado cashback.exe, que es el que contiene el ransomware que posteriormente pasa a cifrar todos los archivos del ordenador de la víctima. Un investigador de seguridad hizo la prueba en un ordenador, y en sólo 7 minutos todos los archivos de su ordenador estaban cifrados. Este tiempo varía dependiendo de la velocidad de nuestras unidades y de la cantidad de archivos almacenados que tengamos en ellas.

La web es muy creíble, ya que los enlaces en los que pinchas te llevan a distintos elementos reales de las páginas web dentro del propio dominio, como las páginas de ayuda, contacto, etc. Estos enlaces tienen la misma URL que la web real, aunque sustituyen algunas letras por caracteres cirílicos o de otros alfabetos para hacernos creer que estamos en la URL real, ya que la barra de direcciones de los navegadores web las muestran de manera idéntica. Así, la URL se veía como paypal.com, pero la URL real era xn--ayal-f6dc.com en Punycode. La página empezó a ser bloqueada rápidamente por los navegadores web, y el dominio ya no está disponible.

El malware se activa si tu ordenador no está en ruso

El ransomware se encontraba en su versión 1.4, y es muy fácil descubrir cuál era su origen. En su código había una comprobación “isRU”, que comprobaba si el ordenador en el que había sido instalado el ransomware usa el idioma ruso y si estaba en países como Rusia, Bielorrusia, Kazajistán, Tayikistán o Ucrania. Si detectaba alguno de esos países, el malware cifraba ningún dato. Si el país era cualquier otro, el malware empezaba a cifrar todos los datos del ordenador. Nemty además elimina todas las copias de seguridad de dispositivos que tengamos en el ordenador.

El ransomware pide en torno a 0,1 bitcoins a cambio de descifrar los datos, que son unos 1.000 dólares. El portal de pago está alojado en la red Tor para el mayor anonimato posible.