Cibercriminosos utilizam arquivos WSF como vetor para infiltração de ransomware
O Brasil é conhecido no campo da segurança de informação e análise de malware como um país que absorve tecnologias maliciosas “inovadoras” estrangeiras e as adapta para o ambiente local principalmente para burlar as tecnologias tradicionais de proteção.
Por meio de um monitoramento do Laboratório de Pesquisas e Ameaças da Trend Micro – empresa especializada na defesa de ameaças digitais e segurança na era da nuvem –, os especialistas em segurança descobriram um novo vetor de infecção usado por um ransomware para disseminar ameaças: por meio da extensão de arquivo Windows Script File (WSF).
A Trend Micro vem monitorando o comportamento dos atacantes brasileiros, e consequentemente, trabalhando na atualização das ferramentas de detecção comportamental baseadas em sandboxing customizado.
Por meio da execução de um HoneyPot, os pesquisadores da Trend Micro puderam rastrear três e-mails que chegaram ao laboratório para dois endereços distintos e cada um deles tinham remetentes únicos, o que demonstrou a existência de um ecossistema por trás do ataque.
- Detecção inicial pelo Deep Discovery Inspector:
A geo-localização dos IPs de origem dos e-mails é diferente para cada um:
Sérvia (Leste Europeu)
Colômbia
As “ondas” de phishing seguiram o mesmo padrão e aconteceram nos dias 18 e 19 de Julho/2016, com e-mails originados na Índia, Tailândia e também no Brasil (Goiânia).
Brasil
Um ponto que chamou a atenção da Trend Micro nesse ataque foi o uso de arquivos .wsf como ponto de entrada para evasão das tradicionais tecnologias de detecção do ransomware.
Em todos os casos foram empregadas técnicas de ofuscação de código no downloader, tornando o arquivo inicialmente ilegível, mesmo se tratando de um arquivo de texto.
Todos os arquivos .wsf, neste caso, os downloaders do ransomware, são arquivos diferentes, com uma técnica que é usada para burlar a detecção baseada em hash, e cada um dos executáveis baixados segue a mesma linha. Apesar de arquivos executáveis, cada um é único, utilizando como “propriedades do arquivo” informações relacionadas a um widget do Yahoo.
Também chamou a atenção da Trend Micro o fato do ransomware exibir a mensagem sobre a criptografia dos arquivos e o pedido de resgate em diferentes línguas, mostrando assim não se tratar de uma ameaça simples ou comum.
Tela de resgate do ransomware em português do Brasil (Idioma nativo do ambiente analisado)
Tela do resgate com mensagem em inglês (o que demonstra que o ransomware se adapta a região que está atacando)
O Deep Discovery da Trend Micro determinou que o tipo de ameaça é VAN_RANSOMWARE. A partir das novas versões do produto, a nomenclatura ransomware é adicionada sempre que algum comportamento relacionado a esse tipo de ameaça é encontrado. Se for desconhecido como neste caso, é adicionado o prefixo VAN (VirtualANalyzer).
O comportamento registrado foi o ato do ransomware em renomear cada um dos arquivos e o uso de técnicas de criptografia durante a execução do malware.
O primeiro destaque se dá pelo fato do arquivo “winword.doc”, passar a ter outro nome e a extensão. zepto. Essa extensão é uma pista sobre a família do ransomware analisado, que após pesquisa na base de dados do laboratório Trend Micro, mostrou tratar-se de uma variante do já bem conhecido Locky.
Categoria: Crimes
