Expertos de seguridad han detectado una nueva versión del ransomware CryptXXX, concretamente la 3.100, que llega con un gran número de cambios y “mejoras” de manera que ahora es más eficaz a la hora de cifrar los archivos, difícil de detectar y, más preocupante, incluye un módulo capaz de volcar las contraseñas de diferentes aplicaciones y enviarlas a un servidor controlado por los propios piratas informáticos.
Este nuevo módulo espía, llamado “StillerX“, ha sido diseñado especialmente para robar contraseñas de bases de datos internas de un gran número de programas de uso diario. Mientras el ransomware funciona, este módulo extrae las contraseñas, tanto cifradas como en texto plano, de los programas compatibles y las envía automáticamente al servidor controlado por los cibercriminales, donde se almacenan para procesarlas más adelante.
Este módulo es capaz de recuperar las contraseñas de los principales navegadores web, gestores de descargas, clientes de correo electrónico, clientes FTP, plataformas de mensajería, aplicaciones de poker online, VPN y todos los credenciales almacenados en el Administrador de Credenciales de Microsoft.
Además de las propias librerías del ransomware, el módulo espía depende de “stiller.dll", “stillerx.dll” y “stillerzzz.dll”.
REDESZONE (06-06-2016)
