Um ransomware multiplataforma, desenvolvido em Java e recentemente identificado, utiliza um arquivo de imagem Java (ImageJ) para escapar da detecção, conforme relatam os pesquisadores de segurança da BlackBerry.
Denominado Tycoon, o ransomware parece ser empregado exclusivamente em ataques direcionados, considerando o pequeno número de vítimas e o método de distribuição adotado.
Ao contrário dos ataques virais de grande escala, que visam infectar o maior número de computadores possível, os ataques direcionados focam em empresas ou grupos específicos de usuários.
Eles baseiam-se nos padrões de navegação e comunicação online para facilitar a intrusão.
Os responsáveis pelo Tycoon miram em pequenas e médias empresas, além de instituições do ramo educacional e de software, de acordo com os pesquisadores.
Em um dos casos, esses atacantes comprometeram inicialmente um servidor de desktop remoto exposto à internet, usando-o para comprometer ainda mais o sistema.
A análise do incidente revelou que os atacantes empregaram a inserção de opções de execução de arquivo de imagem (IFEO) para garantir persistência, o que executou uma backdoor juntamente com o recurso Microsoft Windows On-Screen Keyboard (OSK), procedendo então para desabilitar a função antimalware e datar a maioria dos arquivos.
Após consolidar sua presença no sistema, os invasores ativaram o módulo Java do ransomware, criptografando todos os servidores de arquivos conectados na rede, incluindo os sistemas de backup.
O ransomware é distribuído na forma de um arquivo ZIP contendo uma versão adulterada do Java Runtime Environment (JRE), e é compilado em um arquivo de imagem Java (ImageJ).
Este formato é utilizado para guardar imagens customizedas do JRE e é empregado pela Java Virtual Machine (JVM) durante a execução.
Introduzido pela primeira vez na versão 9 do Java, esse formato de arquivo é pouco documentado e raramente utilizado pelos desenvolvedores, conforme explica a equipe da BlackBerry.
Entre outras descobertas, os pesquisadores identificaram que o malware visa sistemas operacionais Windows e Linux.
A configuração do ransomware inclui o endereço de e-mail do atacante, a chave pública RSA, o conteúdo da nota de resgate, uma lista de exclusões, e uma lista de comandos shell a serem executados.
Quando ativado, o malware executa um conjunto de comandos shell especificados no arquivo de configuração.
O Tycoon elimina os arquivos originais após a criptografia e ainda os sobrescreve para impedir sua recuperação.
Para isso, explora a utilidade cipher.exe, incorporada ao Windows.
Durante o processo de criptografia, o malware ignora partes de arquivos maiores para acelerar a operação, o que danifica e torna esses arquivos inutilizáveis.
O Tycoon vem sendo distribuído há pelo menos seis meses, mas parece afetar um número limitado de vítimas.
Isso indica que o malware pode ser extremamente direcionado, podendo também fazer parte de uma campanha mais ampla que envolve diferentes tipos de ransomware, dependendo daquele que se mostrar mais eficaz em ambientes específicos, observa a BlackBerry.
Publicidade
Aprenda a criar dispositivos incríveis com o especialista Júlio Della Flora. Tenha acesso a aulas prática que te ensinarão o que há de mais moderno em gadgets de hacking e pentest. Se prepare para o mercado de pentest físico e de sistemas embarcados através da certificação SYH2. Saiba mais...