Uma variante de um tipo de ransomware conhecido como DJVU foi observada sendo distribuída na forma de software crackeado.
"Embora esse padrão de ataque não seja novo, incidentes que envolvem uma variante do DJVU que acrescenta a extensão .xaro aos arquivos afetados e exige resgate por um decodificador foram observados infectando sistemas ao lado de uma série de carregadores de commodity e ladrões de informação," disse Ralph Villanueva, pesquisador de segurança da Cybereason.
A nova variante foi apelidada de Xaro pela empresa americana de cibersegurança.
O DJVU, por si só uma variante do ransomware STOP, geralmente aparece na cena se disfarçando de serviços ou aplicações legítimas.
Também é entregue como um payload do SmokeLoader.
Um aspecto significativo dos ataques de DJVU é o implantação de malware adicional, como ladrões de informação (por exemplo, RedLine Stealer e Vidar), tornando-os mais danosos por natureza.
No mais recente ataque documentado pela Cybereason, o Xaro é propagado como um arquivo de arquivo de uma fonte duvidosa que se disfarça como um site que oferece freeware legítimo.
Ao abrir o arquivo do arquivo, leva à execução de um suposto instalador binário para um software de escrita em PDF chamado CutePDF que, na realidade, é um serviço de download de malware pago por instalação conhecido como PrivateLoader.
PrivateLoader, por sua vez, estabelece contato com um servidor de comando e controle (C2) para buscar uma ampla gama de famílias de malware ladrão e carregador como RedLine Stealer, Vidar, Lumma Stealer, Amadey, SmokeLoader, Nymaim, GCleaner, XMRig, e Fabookie, além de liberar o Xaro.
"Essa abordagem de espalhamento para o download e execução de malware de commodity é comumente observada em infecções de PrivateLoader originárias de sites suspeitos de freeware ou software crackeado," explicou Villanueva.
O objetivo parece ser coletar e exfiltrar informações sensíveis para extorsão dupla, bem como garantir o sucesso do ataque mesmo que um dos payloads seja bloqueada pelo software de segurança.
O Xaro, além de gerar uma instância do infostealer Vidar, é capaz de criptografar arquivos no host infectado, antes de soltar uma nota de resgate, instando a vítima a entrar em contato com o ator da ameaça para pagar US$980 pela chave privada e a ferramenta de decodificador, um preço que cai pela metade para US$490 se for abordado dentro de 72 horas.
Se algo, a atividade ilustra os riscos envolvidos ao baixar freeware de fontes não confiáveis.
No mês passado, a Sucuri detalhou outra campanha chamada FakeUpdateRU onde visitantes de sites comprometidos recebem falsos avisos de atualização do navegador para entregar o RedLine Stealer.
"Atores de ameaças são conhecidos por favoritizar freeware se disfarçando como uma maneira de implantar secretamente código malicioso," disse Villanueva.
"A velocidade e amplitude do impacto em máquinas infectadas devem ser cuidadosamente compreendidas por redes corporativas que procuram se defender e proteger seus dados."
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...