Por si la
amenaza del ransomware fuese poco, ahora se ha descubierto que el grupo que está detrás de la distribución del virus JAFF también roba tu cuenta bancaria y la pone a la venta en la Deep Web.
El pasado mes de mayo, un equipo de investigadores de la firma de seguridad Check Point
detectó un nuevo ransomware llamado JAFF. El virus se propaga a través de Necurs, una de las mayores redes de bots distribuidoras de malware, responsable también de la difusión del ransomware Locky y de Dridex.
De acuerdo con el informe de Check Point, la botnet Necurs envía correos electrónicos maliciosos con un archivo PDF adjunto que tiene oculto el ransomware JAFF. El documento lleva integrado un fichero con extensión DOCM que, cuando se abre, ejecuta una macro que descarga un archivo TXT cifrado. Tras ser descifrado, se convierte en un EXE malicioso
que infecta y secuestra el equipo, solicitando un restaca de 2.047 bitcoins, unos 5.000 euros al cambio actual.
JAFF se ha propagado con rapidez y en el último mes se ha extendido por todo el mundo. Ahora, los investigadores de la firma Heimdal Security han podido comprobar que este ransomware está relacionado con una tienda online que da acceso a decenas de miles de cuentas bancarias comprometidas, con detalles acerca de su saldo disponible, ubicación y dirección de correo electrónico. Además, también hay datos de cuentas de Amazon, PayPal y eBay.
De este modo, a cambio de un puñado de bitcoins otros ciberdelincuentes tienen la posibilidad de comprar tarjetas de crédito robadas para utilizarlas con fines malintencionados. El servidor empleado para la venta de cuentas bancarias robadas se encuentra ubicado en San Petersburgo (Rusia), y también es parte de la infraestructura que alimenta los ataques de JAFF.
La tienda online dispone de filtros para que el comprador pueda
localizar rápidamente cuáles son las cuentas con mayor potencial
lucrativo. Los países con mayor volumen de registros comprometidos son España, Estados Unidos, Alemania, Francia, Italia, Canadá y Nueva Zelanda.