Crypto-Ransomware Cerber agora usa arquivos de script maliciosos

O crypto-ransomware Cerber, que apareceu no começo de março deste ano, elevou suas apostas usando email como outro meio para distribuir o malware, segundo um relatório da firma de segurança de computadores Forcepoint.

Os pesquisadores da firma conseguiram rastrear uma campanha de email distribuindo o malware através de arquivos compactados duplamente, veiculados como anexos em emails. Os arquivos contêm Windows Script Files (WSFs), documentos de texto que possuem um código Extensible Markup Language (XML) e são executados pelo wscript.exe utility. do Windows. Segundo o relatório, os arquivos WSF continham um código Jscript ofuscado, cuja carga final era o ransomware Cerber.

Nicholas Griffin da Forcepoint observou que o código incomum usa um arquivo compactado duplamente contendo um WSF, permitindo que o malware evite o filtro de spam do cliente do email e alguns softwares de segurança, especialmente os que utilizam aprendizado de máquina. Ele também tenta escapar da análise heurística incluindo um conteúdo de email que parece autêntico, particularmente os relacionados à cobrança e faturas. Ele também adiciona um botão “cancelar inscrição” que redireciona para o mesmo arquivo ZIP.

O crypto-ransomware Cerber (identificado pela Trend Micro como RANSOM_CERBER.A) infecta um sistema como um arquivo baixado por outro malware ou um arquivo baixado e executado sem saber pelos usuários que acessam sites maliciosos. Desde que essa descoberta foi relatada, seu método de distribuição típico era através de malvertisings (anúncios maliciosos), usando um exploit kit Nuclear que atacava programas e aplicações vulneráveis ou não corrigidas.

Após a infecção, os arquivos dos usuários são criptografados e ficam inacessíveis. O usuário é então instruído a pagar 1,24 bitcoins (cerca de $523 dólares, a partir de 4 de março de 2016) que aumentará para $1.046 dólares depois de uma semana. Curiosamente, o Cerber consulta a localização do computador e termina suas funções se descobrir que ele está sendo executado em países da Comunidade dos Estados Independentes (Azerbaijão, Armênia, Bielorússia, Geórgia, Cazaquistão, Quirguistão, Moldávia, Rússia, Tajiquistão, Turquemenistão, Uzbequistão e Ucrânia).

O Cerber foi notável por seu uso de voz gerada por computador ao invés da exibição de uma nota de resgate como imagem para alertar que os arquivos dos usuários foram criptografados. A técnica de intrusão se assemelha ao modo como o famoso ransomware Locky se infiltra em um computador por meio de macros incorporadas em documentos Word, enviados como anexos em emails tentando se passar por uma fatura.

Uma análise mais profunda da Trend Micro mostrou que o ransomware vem como um arquivo de configuração personalizável, permitindo que o distribuidor modifique componentes do malware como a nota de resgate, usuário alvo e os arquivos que eles querem criptografar.

O Cerber também serve como exemplo de como o malware está cada vez mais se tornando acessível às massas, inclusive sendo vendido no mercado negro online russo. Oferecido como um ransomware-como-um-serviço (RaaS), os agressores compram a licença para usar o ransomware enquanto os autores do malware ganham comissões de cada resgate pago. Assim, não há um ator específico da ameaça usando o malware, e sim vários “afiliados” distribuindo suas próprias criações do ransomware Cerber de diferentes maneiras.

De acordo com Griffin, a maioria das vítimas observadas nessa campanha de email está atualmente dentro do Reino Unido e foi projetada para se expandir com o tempo para outros países.

Categorias

Veja outras publicações

Menu