Uma segunda onda da variante do ransomware Locky, chamada IKARUSdilapidated, foi identificada por especialistas em segurança. A fonte do ransomware é uma rede de computadores zumbis coordenada para lançar ataques de phishing que enviam e-mails e anexos que parecem provenientes de impressora multifuncional de um destinatário confiável.
Esta é a segunda onda do ransomware IKARUSdilapidated detectado no mês passado, de acordo com o Comodo Threat Intelligence Lab. O ataque original, identificado pela primeira vez em 9 de agosto e com duração de três dias, utilizou mensagens de spam que continham pouco ou nenhum conteúdo, juntamente com um anexo malicioso em formato .vbs (Visual Basic Script).
“Esta é uma campanha mais madura, visando funcionários de escritórios cujas estações de trabalho fazem parte de uma rede corporativa ligada a scanners e impressoras multifuncionais”, disse Fatih Orhan, diretor de tecnologia da Comodo, em entrevista ao Threatpost. “Como muitos funcionários hoje digitalizam documentos originais na impressora da empresa e os enviam para si próprios e para outras pessoas, esse e-mail repleto de malware ficará muito inocente”.
Parte dos e-mails utilizados nesta campanha utilizam um modelo de impressora popular na linha do assunto do e-mail para enganar os usuários, para fazer com que pensem que as mensagens são legítimas. Uma dessas mensagens diz: “Imagem digitalizada de M-2600N”. MX-2600N é o modelo de uma impressora multifuncional da Sharp, líder na classe empresarial. As mensagens continham anexos de JavaScript maliciosos que, se clicados, inicializam um programa dropper que baixa o ransomware IKARUSdilapidated.
Esta última campanha foi entregue ao longo de três dias desde 18 de agosto em três etapas. Os dois primeiros estágios do ataque foram os maiores e envolveram o arquivo falso da imagem anexa digitalizada.
A terceira onda menor diferiu e apresentou uma mensagem que se referia a uma agência dos correios francesa com a palavra “FACTURE” no campo assunto do e-mail. FACTURE se traduz em uma conta ou um inquérito de cobrança em francês. Os e-mails vieram de um endereço de e-mail de Laposte.net, que é um domínio usado por uma popular empresa de correios francesa, de acordo com a Comodo. As mensagens FACTURE também continham anexos JavaScript maliciosos compactados em formato .rar. Depois de clicar, o malware dropper baixaria o ransomware IKARUSdilapidated.
“Em contraste com a campanha inicial do IKARUSdilapidated Locky, em 9 de agosto, que distribuiu malware com a extensão ‘.diablo’ e um script que é um .vbs, ambos os novos ataques têm variações interessantes para enganar os usuários com engenharia social, falsos administradores de segurança e seus algoritmos de aprendizagem de máquinas e ferramentas baseadas em assinaturas”, disseram pesquisadores em uma análise técnica do ataque.
O nome do ransomware Locky e variante IKARUSdilapidated é derivado de uma string de texto encontrada no código do arquivo malicioso baixado pelo dropper. Os pesquisadores disseram que o IKARUSdilapidated é uma variante do Locky porque eles compartilham muitas das mesmas características, como nomes de arquivos criptografados convertidos para uma combinação única de 16 letras e números.
“Isso mostra que os autores de malwares estão evoluindo e mudando métodos para alcançar mais usuários e ignorar métodos de segurança”, disse Orhan.
De acordo com uma análise da botnet utilizada nos ataques, 54.048 endereços IP foram utilizados na campanha “imagem digitalizada” – 27% desses também foram usados no ataque original que começou em 9 de agosto. Os principais países de origem por trás do botnet “computador zumbi” são Vietnã, Turquia, Índia e México. Os atingidos incluem países da Europa e do Sul da Ásia, com alvos mínimos nos Estados Unidos e na Rússia.
Locky é notório por sua eficácia e rentabilidade. Ao longo dos últimos dois anos, o Locky extorquiu mais de US$ 7,8 milhões de dólares em pagamentos das vítimas, de acordo com um estudo recente da Google, Chainalysis, UC San Diego e da NYU Tandon School of Engineering.
Publicado originalmente no ThreatPost em 30 de agosto de 2017.
Este conteúdo foi traduzido com permissão. ThreatPost não é afiliado com este site.
Autor: Tom Spring
Tradução por Tiago Souza
Imagem destacada deste post: Photoroyalty | Freepik