Crypto Locker: A Mais Nova Tendência de Ransomware
Além do uso de brindes, concursos, ou falsificação de marcas populares, os cibercriminosos podem usar outras iscas igualmente eficazes a partir de sua caixa de ferramentas de engenharia social. Isso inclui intimidação, ou mesmo assustar os usuários e persuadi-los na compra de produtos falsos ou apenas convencendo os mesmos a repassar seus dados ou mesmo dinheiro. Essa tática é, obviamente, manifestada em ameaças como FAKEAV e agora, com as mais audaciosas práticas de ransomware.
Antes, o ransomware tinha tomado uma nova forma - ou seja, police trojans. Estas pragas normalmente bloqueiam o acesso ao sistema e mostram um aviso falsificado para os usuários. Este acusa as vítimas de estar fazendo algo ilegal na Internet, e que diz ainda que elas devem pagar uma multa. No entanto, as últimas variantes de ransomware (conhecidas como Crypto Locker) agora criptografam arquivos, além de bloquear o sistema. Isso é para garantir que os usuários ainda vão pagar a quantia cobrada, mesmo que o malware tenha sido excluído.
A recente amostra do tal Crypto Locker, (detectada como TROJ_CRILOCK.AE) também mostra um wallpaper com um aviso para os usuários. O aviso informa aos usuários que, mesmo que excluam o malware de seu sistema, os arquivos criptografados permanecerão inacessíveis. A chave privada, que supostamente desbloqueia o arquivo criptografado, será eliminada e os usuários devem optar por não "comprá-la", o que os obrigaria a pagar 300 dólares (ou 300 €).
Ataque Bem-sucedido com Utilização do BKDR_SHOTODOR.A
Outra maneira de fazer um ataque tornar-se bem sucedido, é fazer com que ele passe desapercebido pelos usuários e qualquer software antimalware. Dessa forma, os pesquisadores encontraram o BKDR_SHOTODOR.A, que usam o garbage code e arquivos nomeados aleatoriamente. (Note-se que os autores deste ataque são completamente diferentes do anterior).
Atualmente, o principal vetor de infecção ainda está para ser determinado. Com base em todas as análises realizadas, a ameaça começa com um componente drop-down, o que libera vários arquivos para o sistema afetado. Olhando atentamente para esses arquivos, a maioria dos arquivos contêm alguns valores numéricos, enquanto outros arquivos contêm dados que são inofensivos. No entanto, um arquivo se destaca devido ao seu tamanho, que é grande. Ele também contém seqüências numéricas "garbage".
Ao optar por "dispersar" o código malicioso e construí-los mais tarde para criar um arquivo executável malicioso, os cibercriminosos obviamente, fazem ameaças, tentando evitar a detecção e permanecer ocultos. Todos os arquivos relacionados são detectados pela Trend Micro como BKDR_SHOTODOR.A. Vale ressaltar que essas ameaças tem se destacado por uma característica interessante: ao invés de criar tipos de ameaças completamente novos, os atacantes estão optando por modificar as ameaças já existentes, que ainda estão em vigor, implementando maior sofisticação a elas. Embora não sejam completamente "novas", elas ainda representam uma ameaça significativa para os usuários de hoje.
Saiba Mais:
[1] Blog Trend Micro http://blog.trendmicro.com/trendlabs...-intelligence/