menu

Contact Us

1 (800) 723-1166 |

Security Labs

HomeSecurity LabsLocky Distributor Uses Newly Released Quant Loader Sold on Russian Underground
HomeSecurity LabsLocky Distributor Uses Newly Released Quant Loader Sold on Russian Underground

Locky Distributor Uses Newly Released Quant Loader Sold on Russian Underground

Los investigadores de Forcepoint descubrieron un nuevo programa de descarga intermedio denominado “Quant Loader”, el cual se utiliza para distribuir el crypto-ransomware Locky Zepto y las familias de malware Pony (conocidas también como Fareit). Este nuevo programa de descarga utiliza un troyano, el cual se liberó hace sólo un par de semanas, y que se está promoviendo ampliamente en los foros clandestinos rusos.

Los correos electrónicos se hacen pasar por una notificación de facturas que contiene un archivo adjunto malicioso Windows Script File (WSF). Cuando este archivo se ejecuta, se realiza una descarga cifrada que a continuación se desencripta y se ejecuta. 

 

A decir de Carl Leonard, analista de seguridad principal de Forcepoint: “A primera vista, la carga era desconocida y se había agregado una etapa adicional a la cadena de infección. Mediante un análisis exhaustivo, hemos identificado a este programa de descarga intermedio como ‘Quant Loader’, y logramos averiguar que fue creado por ‘MrRaix’, o ‘DamRaiX’ como también le llaman, quien es miembro de la banda criminal ‘C++ GURU’, o ‘CPPGURU’ como también se le conoce”. 

Una investigación más a fondo reveló que la base del código es bastante similar a otras herramientas que este grupo ha creado, un programa diseñado para robar credenciales, otro programa para robar billeteras de BitCoin, y un sistema DDoS llamado Madness DDoS System. De hecho, parece que Quant Loader es en realidad un programa de descarga de troyanos muy básico y no el “exe loader/ dll dropper profesional” como se pensaba.

Los clientes de Forcepoint están protegidos gracias a TRITON ACE. Forcepoint cree que esta campaña pudo haber sido una prueba para evaluar la efectividad del nuevo programa de descarga intermedio, y se prevé que el malware se mejore en el futuro, por lo que se le pide a la gente estar alerta.

Si desea consultar más información, lea el siguiente blog de Forcepoint: 

https://blogs.forcepoint.com/security-labs/locky-distributor-uses-newly-released-quant-loader-sold-russian-underground

Acerca de Forcepoint

El portafolio de productos de Forcepoint protege a los usuarios, a los datos y a las redes contra los adversarios más determinados, contra las amenazas internas accidentales o maliciosas y ataques externos, a lo largo del ciclo de vida completo de una amenaza. Forcepoint protege los datos en todas partes – en la nube, en el camino, en la oficina – simplificando el cumplimiento, permitiendo una mejor toma de decisiones y seguridad más eficiente. Forcepoint permite que las organizaciones se concentren en lo que es más importante para ellas al tiempo que automatizan las tareas de seguridad de rutina. Más de 20,000 organizaciones de todo el mundo confían en Forcepoint. Con sede en Austin, Texas, con ventas en todo el mundo, servicio, laboratorios de seguridad y desarrollo de producto, Forcepoint es una empresa conjunta de Raytheon Company y Vista Equity Partners. Para consultar más información sobre Forcepoint, visite www.Forcepoint.com y síganos en Twitter en @ForcepointSec.