Ramsay, nueva amenaza que secuestra ficheros Word, PDF o ZIP. ESET ha descubierto este malware e indican que han detectado tres variantes, aunque hasta ahora hay pocas víctimas que se hayan podido documentar.
Este malware se ha asociado con Darkhotel, un grupo conocido de APT que se ha llevado a cabo operaciones de ciberespionaje desde al menos 2004, se ha dirigido a entidades gubernamentales en China y Japón en el pasado.
Ramsay se une a la larga lista de amenazas que podemos encontrarnos al navegar por Internet. Es un nuevo malware que pone en jaque la seguridad de los usuarios. En este caso estamos ante un problema que puede «recolectar» archivos Word, PDF o ZIP. Según han indicado es posible que su método de expansión sea a través de un archivo con la extensión RTF. Se trata de un formato que fue desarrollado por Microsoft en 1987 para el intercambio de archivos multiplataforma.
La primera de estas variantes puede llevar en circulación desde septiembre de 2019. Era una versión más simple y las dos siguientes fueron más elaboradas. Estas dos variantes han aparecido a final de marzo. Según indican, para introducir el malware en los sistemas se aprovecha de dos vulnerabilidades que han sido registradas como CVE-2017-0199 y CVE-2017-11882. Estos dos fallos de seguridad permiten ejecutar código arbitrario.
Por otra parte, otra de las variedades más elaboradas, el malware se hizo pasar por un instalador para la herramienta de compresión de archivos 7-ZIP.
