Tox, cómo crear tu propio ransomware en 3 pasos

McAfee descubrió en la Deep Web unos kits de construcción de ransomware que permiten fácilmente construir el malware en sólo 3 pasos, implementando un interesante modelo de negocio.
Página en la Deep Web
En el submundo del crimen es fácil encontrar kits de construcción de malware que permiten fácilmente construir códigos maliciosos a partir de plantillas existentes y en los mismos casos a partir de aplicaciones legítimas. Una nueva tendencia surgió de investigación por expertos de McAfee es una especie de constructor de ransomware fácil de usar, esta familia de malware es cada vez más popular en el ecosistema criminal y los ladrones están tratando de capturar esta oportunidad.
El kit de construcción de ransomware, apodado Tox, está disponible en línea de forma gratuita en la web oscura desde el 19 de mayo. La dirección .onion de la página web que ofrecen es:

toxicola7qwv37qj.onion
"Hemos desarrollado un virus que, una vez abierto en un sistema operativo Windows, encripta todos los archivos. Una vez finalizado este proceso, se muestra un mensaje preguntando a pagar un rescate a una dirección bitcoin para desbloquear los archivos. "
Establece la presentación de Tox disponible en la página principal.

Un usuario interesado en Tox puede suscribirse al servicio de crear su propio virus. Los autores explican que es muy fácil crear un ransomware en unos sencillos pasos:

  • Decida la cantidad de rescate.
  • Escriba su "causa".
  • Escriba el captcha

Los creadores de Tox solicitan un porcentaje del importe pagado como rescate por las víctimas, garantizan el anonimato de los pagos y de transferencia de malware a través de la red Bitcoin y Tor. Los autores de Tox garantizan que la tasa de detección para los virus generados por la plataforma es muy baja.

Pasos a seguir para la creación del virus
"Una vez que haya descargado el virus, lo que tiene que infectar a las personas (sí, puedes enviar spam del mismo virus a más personas). ¿Cómo? Esa es tu parte. La práctica más común es de spam como un archivo adjunto de correo electrónico. Si decides seguir este método, asegúrate de comprimir el archivo para evitar los antivirus y detectores antispam. "Se informa en el sitio web oficial.
"La parte más importante: el bitcoin pagado por la víctima será acreditado a tu cuenta. No hacemos más que mantener una cuota de 30% de los ingresos, por lo que si se especifica $100 de rescate, recibirás $70 y nosotros vamos a conseguir $30, es justo, ¿no? "

La característica clave de Tox son:

Tox es gratuito. Sólo tienes que registrarte en el sitio.
Tox depende de Tor y Bitcoin. Eso permite un cierto grado de anonimato.
El malware funciona como se anuncia.

De entrada, el nivel de evasión antimalware es bastante alto, es decir, los objetivos necesitarían controles adicionales activos (HIPS, lista de acceso, sandbox) para capturar o impedir la infección. La detección antimalware es bastante baja, es decir, los objetivos del malware necesitarían controles establecidos adicionales (HIPS, listas de acceso, sandboxing) para atrapar o evitar esto.

El modelo de la delincuencia-como-servicio implementado por el autor de Tox es tan simple como efectivo, el constructor de malware genera un ejecutable de alrededor de 2 MB que se disfraza como un archivo .scr.

Los suscriptores de Tox pueden distribuirlo como prefieren, mientras que el servicio oculto Tox hará un seguimiento de cualquier instalación y el beneficio correspondiente. Los clientes de Tox recibirán sus fondos directamente en la dirección Bitcoin que proporcionaron durante la fase de suscripción.

El virus Tox descarga primero los componentes esenciales para trabajar, Curl y el cliente TOR.

Los expertos destacaron que muchos otros actores de amenazas adopten este modelo de venta, también esperan que los autores de malware mejorarán las capacidades de evasión de sus agentes maliciosos y utilizarán cifrado para proteger el tráfico de malware.