Criminosos tentaram infectar alvos com o Cyborg Ransomware através de falsas mensagens de atualização do Windows. No entanto, eles cometeram alguns erros na programação que custaram a eficácia de seu crime.
Algumas das mensagens diziam “Microsoft Windows Update crítico!” e “Instale o Microsoft Windows Update mais recente agora!”. Essa campanha está em andamento desde pelo menos a primeira semana de novembro, quando foi instalado o repositório Github do malware, de acordo com Karl Sigler, gerente de inteligência de ameaças do Trustwave SpiderLabs, que descobriu o caso. O Cyborg Ransomware era novo também para a equipe de pesquisa.
“Não vimos esse ransomware específico antes, embora nossa amostra corresponda a outras três amostras que foram enviadas ao VirusTotal no início deste ano”, diz Sigler. Ele acredita que esse ransomware pode ser uma variante daquele que acrescenta a extensão “777” aos arquivos criptografados.
Os emails, alegadamente da Microsoft, continham uma única frase: “POr favor instale a atualização crítica mais recente da Microsoft anexada a este email”, Sim, “POr favor”, com duas letras maiúsculas – um erro gramatical que pode alertar os usuários do potencial malicioso daquele email.
Mas esse não foi o único erro. Os pesquisadores dizem que o anexo de atualização falso tem a extensão de arquivo “.jpg” mas é, na verdade, um arquivo executável com cerca de 28 KB e um nome de arquivo aleatório. O arquivo é um downloader malicioso do .NET para entregar o ransomware a partir da conta do Github. Segundo os pesquisadores, a conta foi retirada.
Se os invasores tivessem nomeado corretamente o executável, ele teria criptografado os arquivos da vítima assim que chegasse à máquina. No entanto, eles mudaram a extensão de “.exe” para “.jpg”. “Muitas vezes vemos os invasores usarem extensões duplas para induzir os usuários a abrir um arquivo”, explica Sigler. “Por exemplo, eles podem usar ‘file.jpg.exe’. Ao eliminar a extensão ‘.exe’, o arquivo nunca seria executado a menos que um administrador o tivesse lançado propositadamente na linha de comando”.
Em um post publicado hoje detalhando suas descobertas, os pesquisadores explicaram como procuravam variantes adicionais do Cyborg pesquisando no VirusTotal por “syborg1finf.exe”, o nome do arquivo original do ransomware obtido. Eles encontraram três amostras.
O ransomware também pode ser enviado por spam usando outros temas e anexado em diferentes formas para evitar gateways de email. Os invasores podem personalizar a ameaça de usar uma extensão de arquivo ransomware conhecida, que pode enganar os usuários infectados da identidade do Cyborg, explicam os pesquisadores.
Via: DarkReading
Fonte do Artigo
Tags:
#tecnologia #tecnologias #technology #tecnolog #iphone #informatica #tech #design #samsung #internet #apple #smartphone #seguranca #venezuela #celular #celulares #inovar #qualidade #software #empresas #cursos #engenharia #industria #marketing #ti #tecnoblog #veja #olhardigital #mundodigital #inteligenciaartificial #criar site #criar site curitiba #wiysolutions