Criminosos tentaram infectar alvos com o Cyborg Ransomware através de falsas mensagens de atualização do Windows. No entanto, eles cometeram alguns erros na programação que custaram a eficácia de seu crime

Algumas das mensagens diziam “Microsoft Windows Update crítico!” e “Instale o Microsoft Windows Update mais recente agora!”. Essa campanha está em andamento desde pelo menos a primeira semana de novembro, quando foi instalado o repositório Github do malware, de acordo com Karl Sigler, gerente de inteligência de ameaças do Trustwave SpiderLabs, que descobriu o caso. O Cyborg Ransomware era novo também para a equipe de pesquisa.

“Não vimos esse ransomware específico antes, embora nossa amostra corresponda a outras três amostras que foram enviadas ao VirusTotal no início deste ano”, diz Sigler. Ele acredita que esse ransomware pode ser uma variante daquele que acrescenta a extensão “777” aos arquivos criptografados.

Os emails, alegadamente da Microsoft, continham uma única frase: “POr favor instale a atualização crítica mais recente da Microsoft anexada a este email”, Sim, “POr favor”, com duas letras maiúsculas – um erro gramatical que pode alertar os usuários do potencial malicioso daquele email.

Reprodução

Mas esse não foi o único erro. Os pesquisadores dizem que o anexo de atualização falso tem a extensão de arquivo “.jpg” mas é, na verdade, um arquivo executável com cerca de 28 KB e um nome de arquivo aleatório. O arquivo é um downloader malicioso do .NET para entregar o ransomware a partir da conta do Github. Segundo os pesquisadores, a conta foi retirada.

Se os invasores tivessem nomeado corretamente o executável, ele teria criptografado os arquivos da vítima assim que chegasse à máquina. No entanto, eles mudaram a extensão de “.exe” para “.jpg”. “Muitas vezes vemos os invasores usarem extensões duplas para induzir os usuários a abrir um arquivo”, explica Sigler. “Por exemplo, eles podem usar ‘file.jpg.exe’. Ao eliminar a extensão ‘.exe’, o arquivo nunca seria executado a menos que um administrador o tivesse lançado propositadamente na linha de comando”.

Em um post publicado hoje detalhando suas descobertas, os pesquisadores explicaram como procuravam variantes adicionais do Cyborg pesquisando no VirusTotal por “syborg1finf.exe”, o nome do arquivo original do ransomware obtido. Eles encontraram três amostras.

O ransomware também pode ser enviado por spam usando outros temas e anexado em diferentes formas para evitar gateways de email. Os invasores podem personalizar a ameaça de usar uma extensão de arquivo ransomware conhecida, que pode enganar os usuários infectados da identidade do Cyborg, explicam os pesquisadores.

Via: DarkReading