El popular sitio latinoamericano de animé JKanime fue infectado la semana pasada para redirigir a sus visitantes hacía la landing page de un Neutrino EK, un kit  diseñado para esparcir el potente malware  CryptXXX , infame malware por ser usado para atacar y secuestrar información para luego solicitar pagos en bitcoin a cambio de recuperarla.

Investigadores de la compañía Forcepoint (subsidiaria de la compañía Raytheon especializada en seguridad y defensa) revelaron la existencia del ataque esta semana. Según el experto en seguridad de la empresa, Nicholas Griffin, los atacantes habrían insertado un script que incluía un archivo de JavaScript que al momento de cargar la página redirigía al usuario a la lading page de Neutrino.

La noticia del hackeo a JKanime es el último eslabón de una oleada de infecciones y ataques de virus que incluyen una campaña que ha buscado distribuir el CryptXXX desde inicios de abril, ello según investigadores de Palo Alto Networks, empresa de software estadounidense. La secuencia de ataques e infecciones ha tenido grandes hitos en los últimos meses, como por ejemplo el ataque a VK y a MySpace.

Forcepoint aseguró que JKanime ya no se encuentra afectado por el ataque y que continuará funcionando con normalidad. No obstante, manifestó su preocupación por el amplio espectro de distribución que puede haber tenido el virus. “Si sólo el 1% de los usuarios que tuvo el sitio durante este mes se vio afectado, ya eso representa una cantidad monumental de casos” aseguró Griffin y añadió: “Tampoco está garantizado que CryptXXX haya sido el virus que afectó a cada usuario infectado, pero es seguro que es el principal malware primario de todo esta operación”.

Recompensa en Bitcoins

Según explica el reporte del Instituto  SANS, CryptXXX cifra los archivos almacenados localmente, así como dispositivos de almacenamiento conectados. La versión más reciente CryptXXX, 3.1, escanea el puerto 445 para los recursos compartidos de red y resguarda los archivos almacenados allí.

El proceso de contagio funciona al hacer que un usuario llegue a un sitio web que encripta los datos del usuario. Esto puede hacerse de muchas formas, ya sea conduciendo al usuario a la página a través de enlaces enviados al correo electrónico al estilo spam o redirigiendo enlaces a la página con el virus (que fue el caso de JKanime). A partir de ahí  el virus es capaz de arrebatarle datos a los usuarios.

Una banda de hackers conocida como el Equipo de Caridad (The Charity Team en inglés) viene haciendo uso de este virus para secuestrar datos y demandar pagos en bitcoin como recompensa por devolverlos. En los correos enviados a las víctimas de estos ataques, el grupo de hackers alega que usará el dinero para obras benéficas a favor de niños, motivo por el que han recibido el nombre que portan.