Los investigadores de Cyble Research & Intelligence Labs (CRIL) han descubierto un nuevo ransomware escrito en Go al que han denominado JKwerlo y cuyos ataques van dirigidos a usuarios hispanohablantes y francófonos.
El acceso inicial parece obtenerse mediante emails de phishing de carácter supuestamente legal con archivos HTML adjuntos y con archivos ZIP incorporados que, o bien despliegan directamente la carga útil del ransomware, como ocurre con los emails en español, o bien inician una serie de eventos que finalizan con el despliegue de este, caso observado en los emails en francés.
En la campaña en francés, se observó el uso de scripts PowerShell para descargar y ejecutar otros archivos de Dropbox, ejecutando finalmente otro script de PowerShell que despliega JKwerlo. Asimismo, este ransomware usa PsExec y Rubeus para moverse lateralmente por la red, eliminando Resmon.exe y Tasmgr.exe en el proceso con el objetivo de no ser monitorizado.
Indicators of Compromise (IOCs)
| Indicators | Indicator Type | Description |
| 19088d2799ba035319fba3666a1f0dac 9e1491669e493d2823a06e79091aa7ce539ccc0e 831cfc6e0d289364d1b2c9875a85bf76a536611b7308f14c3391b5a22e99f8bd | MD5 SHA1 SHA256 | French HTML |
| 3bc2635ed259d5e18e675eab17611cd0 92bb57e09c87eba40c2ca43b1e2777b001832dd4 c50b9ce8a3e2ce4c39ba8f7b881312303ead9daccab538cc2ad7aed10931e6f6 | MD5 SHA1 SHA256 | Demande légale.zip |
| e64179dfe73967b537ba49bf73d43cda 631d3938ef96fdc6fd5df3ac566fa2872e1759c0 93080b42b479c652eb1a20a4c87ecc9d5d43783e480436f0e8006deebbc7c12c | MD5 SHA1 SHA256 | a.ps1 |
| 9bf11fbb68aa89243519f50756ebf8d6 7fcd026b89748654661079c75b49a965ddf00492 e0082832f7c8310b59b0445034fa731e06c307a9d2091efa66c5bd23361cbaae | MD5 SHA1 SHA256 | Ck.dll |
| 5f03b82eeba39f5f6f486197c88dc2d2 66fcb387d4743771732d10f023ddd3f41eccbfba e760fc461f348c9e390a4ce19f736bb6875aed1360ea3d247f64ca973cccd6a3 | MD5 SHA1 SHA256 | njkasd.ps1 |
| 5da1d8c56eed0b7f134dfdb5ad873e6b cf867d3499ad672784b9654badd631fc041447cf 5e458aec892522e12c7bfd0839bc7a5e0bdff203599aa27738c1be42f22068b0 | MD5 SHA1 SHA256 | Doc.exe |
| 5eee11d64200cd689906b808de19eb06 6898da0f162f80e4fe0572b91959d2480e78a2f2 86bcaace6f419ae44ef3aae297221ea59424de07cb11039f5547fba668a3870a | MD5 SHA1 SHA256 | Spanish HTML |
| 999f7b696318b2bf72bb61c54f6e4b74 94e8d73d1222c2671f63abe1954735fe4e326a3a 04162089fa92236bc9382a002f0a55d43856d696f448daf74f612987b6bb743a | MD5 SHA1 SHA256 | Demanda.zip |
| hxxps://www.dropbox[.]com/scl/fi/1xbmupdty6feo9n7 bjo7d/ck.dll?rlkey=bl89gwnq1awej5csej3v0ng4z&dl=1 | URL | Ck.dll |
| hxxps://www.dropbox[.]com/scl/fi/tee2a4qgy85wjca 62ga56/doc.exe?rlkey=eowry4l7it8ie00ufzccl9r53&dl=1 | URL | Doc.exe |
Seguir leyendo [EN]: New Go-Based JKwerlo Ransomware poses a risk to French and Spanish Users