Ransomware é encontrado em falsas atualizações do Windows

Views: 220
0 0
Read Time:2 Minute, 36 Second

No mês passado, os pesquisadores do FortiGuard Labs descobriram uma nova ameaça de ransomware apelidado Big Head, que pode causar danos significativos quando se tornar operacional. Eles acreditam que esse ransomware ainda está em desenvolvimento. Em um relatório publicado na sexta-feira passada, 7, os pesquisadores da Trend Micro Ieriz Nicolle Gonzalez, Katherine Casona e Sarah Pearl Camiling divulgaram o funcionamento interno desse ransomware, que está sendo criado. Foram eles que apelidaram o ransomware, baseado em .NET, de Big Head.

De acordo com a avaliação dos pesquisadores, não há evidências de implantação bem-sucedida do Big Head até o momento, e seus desenvolvedores podem ser experientes, mas não sofisticados, operadores de ameaças.

Várias versões do Big Head foram detectadas até agora, levantando preocupações entre a comunidade de segurança cibernética. Vale a pena notar que a maioria das amostras de ransomware foram descobertas nos EUA, França, Espanha e Turquia.

A Trend Micro examinou três amostras para sua pesquisa, que revelou que o Big Head é distribuído em uma campanha de malvertising (uso de publicidade online para espalhar malware) e como atualizações falsas do Windows e instaladores do MS Word.

O Big Head pode implantar três binários criptografados:

  • O propagador de malware- 1.exe
  • O facilitador de comunicação com Telegram- archive.exe
  • A criptografia de arquivo/lançador falso de atualização do Windows – Xarch.exe

Uma variante do Big Head lançou uma falsa atualização do Windows, o que significa que o ransomware é distribuído como um software falsificado. Quando a falsa interface do usuário de atualização do Windows é iniciada, a vítima acredita que seja um processo de atualização de software legítimo em que a porcentagem de incremento de progresso é de 100 segundos.

Uma das amostras implantou o malware WorldWind Stealer e coletou uma ampla gama de dados, como o histórico de navegação de todos os navegadores instalados, uma lista de diretórios e detalhes dos processos em execução.

A terceira amostra implantou o vírus Neshta distribuindo malware capaz de inserir código malicioso em arquivos executáveis. “Incorporar o Neshta na implantação do ransomware também pode servir como uma técnica de camuflagem para a carga útil final do Big Head. Essa técnica pode fazer com que o malware apareça como um tipo diferente de ameaça, como um vírus, que pode desviar a priorização de soluções de segurança que se concentram principalmente na detecção de ransomware”, escreveram os pesquisadores em uma postagem técnica no blog da empresa.

Como outros ransomwares, o Big Head pode excluir backups, encerrar processos e executar verificações do sistema para determinar se está sendo executado em um ambiente virtual antes de criptografar os arquivos. Além disso, ele desativa o “Gerenciador de Tarefas” para que a vítima não possa encerrar ou investigar suas atividades maliciosas e abortar automaticamente se o idioma do dispositivo for detectado como russo, ucraniano, bielorrusso, quirguiz, cazaque, armênio, tártaro, georgiano ou uzbeque. Além disso, possui uma função de autoexclusão para apagar seus rastros.

O ransomware apresenta diversas funcionalidades, incluindo ladrões, infectadores e amostras de ransomware. Esta é a parte mais preocupante da descoberta. Após realizar a criptografia, os invasores solicitam pagamento em criptomoeda para descriptografia.

FONTE: CISO ADVISOR

POSTS RELACIONADOS