Ransomware CryLocker utiliza arquivos PNG para o upload de informações de vítimas

| 22/09/2016 - 16:48 PM | Comentários (0)

perigo-internet

Na rotina de comportamento de um malware, é comum o aproveitamento de sites legítimos para comando e controle (C&C) de sistemas infectados, para assim, evitar a desconfiança de novos alvos.

Apesar da maioria dos ransomware enviarem as informações coletadas diretamente para os servidores específicos de C&C, existem algumas variantes que trabalham de forma diferente. O CuteRansomware, por exemplo, usa o Google Docs para passar informações do sistema comprometido para os atacantes.

A Trend Micro – empresa especializada na defesa de ameaças digitais e segurança na era da nuvem -, verificou, no entanto, uma novidade dentro desta modalidade: o ransomware CryLocker (identificado como RANSOM_MILICRY.A) passou a distribuir ameaças no Imgur, site gratuito para hospedagem de imagens.

Esta é a primeira vez que a equipe de Pesquisa em Ameaças Futuras (FTR) da Trend Micro mapeia arquivos PNG (Portable Network Graphics) como transporte para informações coletadas em um sistema infectado.

O arquivo PNG também é usado pelo cibercriminoso para monitorar suas vítimas e, após reunir dados do usuário, este ransomware envia os arquivos para um álbum Imgur.

Os autores do ataque usam essa técnica principalmente para não serem detectados e para continuarem escondidos no sistema.

             Tela de dados de vítima arquivados em .PNG 

grafico-trend-1

Método e análise da entrada

A Trend Micro analisou de perto os arquivos PNG importados para o site Imgur e, segundo os registros, as primeiras informações foram criptografadas no dia 25 de agosto.

Nº de informações baixadas por vítimas do CryLocker (Aug-Sept,2016) 

grafico-trend-2

 No dia 5 de setembro deste ano, a Trend Micro flagrou a ação dos exploit kits Rig e Sundown. Os atacantes mudam o papel de parede do computador, colocando a imagem de um bilhete de resgate chamado “CryLocker”. Após esta publicação, o número total de informações roubadas de vítimas aumentou para 8 mil.

 Nota de resgate do CryLocker

grafico-trend-3

 Com base na pesquisa da Trend Micro, o CryLocker muda a extensão do arquivo criptografado para *.CRY. Curiosamente, antes de deletar os arquivos originais, este ransomware cria cópias dos arquivos selecionados para que sejam criptografados.

É possível recuperar os arquivos com ferramentas de recuperação de disco, mas o tamanho do arquivo não deve passar de 20MB.

O CryLocker também coleta as informações do ponto de acesso de WiFi do usuário (Mac, SSID, SS, etc.). Além disso, ele tenta obter a geolocalização ou a localização de navegação do usuário com o Google Maps Geolocation API.

O CryLocker também obtém o layout do teclado, por meio do uso do windows API, GetKeyboardLayoutList.

Tags: , , ,

Categoria: Crimes

Sobre E-Commerce News: Fundado no ano de 2009, o E-Commerce News é um site projetado para profissionais de todas as áreas, interessados nos mais recentes conteúdos sobre o e-commerce no Brasil e no mundo. Ver mais artigos deste autor.

  • Todos Fornecedores
  • Plataformas
    • Atendimento ao Cliente
    • E-Mail Marketing
    • Sistema de ERP
    • Pagamento Online
    • Mídias Sociais
    • Plataforma de E-Commerce
  • Serviços
    • Escola Espelicializada
    • Logística
    • Agência Especializada
    • Redirecionamento de Encomendas
 
Moovin
EZ Commerce
Jet
Rakuten
Bling
Accesstage
Vtex
Mailbiz
LojaMestre
Braspag
E-Goi
Neoassist
Tray
DLojavirtual
Dotstore
Ciashop
Seri.e
Web Jump
GhFly
E-Millennium
Bis2Bis
Bluefoot
F1soluções
Enviou
Xtech Commerce
ComSchool
Brasil na Web
Nação Digital
E-Commerce Logística
Trezo
Softvar
Qwintry
SoS Loja Virtual
World Pay
 

Comente esta Matéria




Para incluir uma imagem ao lado do seu comentário, registre-se em Gravatar.