Já passaram três semanas desde que a iSIGHT Partners descobriu um novo Ransomware que encripta os documentos das vítimas e que ficou conhecido por TorrentLocker. Esta ameaça propaga-se através de mensagens de spam e contém um link para uma página de phishing onde se solicita ao utilizador que descarregue e execute um ficheiro que contém as informações de uma determinada encomenda. Se em Agosto esta ameaça se encontrava mais confinada à Austrália, eis que a ESET descobriu que a mesma já está na Europa e em plena actividade no Reino Unido.
Neste país esta ameaça disfarça-se de uma página dos correios Royal Mail, sendo que a mesma é utilizada para a distribuição deste malware.
O esquema é o normal: introduz o captcha e posteriormente é conduzido a descarregar um ficheiro que tem um payload executável. É interessante perceber-se que esta página, para já, está apenas disponível para os visitantes que se encontram na Inglaterra. A filtragem parece levar em conta o endereço de IP da potencial vítima. Se o pedido não vier de um IP inglês, então o visitante é redireccionado para a página www.google.com. Existem actualmente três domínios que estão a alojar esta página falsa:
royalmail-tracking.info
royalmail-tracking.biz
royalmail-tracking.org
royalmail-tracking.info
Informações de Registo
Como se pode verificar a data de registo destes domínios é 2 de Setembro, o que revela que esta campanha maliciosa começou muito recentemente.
Ficheiros encriptados na pasta de imagens do Utilizador
O aviso é mostrado aquando da execução de malware.
Assim que este malware se instala, os documentos da vítima são encriptados, sendo que é pedido um resgate de 350 libras, caso o pagamento seja feito nas primeiras 72 horas, ou 700 libras se for depois disso. O pagamento é feito por Bitcoin (1.19 BTC ou 2.38 BTC). Para esconder a infraestrutura, o servidor está armazenado num alojamento .onion na rede Tor.
Para facilitar o acesso das vítimas à página web, o TorrentLocker fornece links aos nodes Tor2Web de forma a que não tenham de instalar software adicionar para chegarem ao site .onion. O que é interessante é que o nome de domínio, door2tor.org, foi registado há apenas duas semanas. Talvez o seu propósito, seja permitir que as vítimas do TorrrentLocker contactem o servidor para que tenham acesso ao software que permite a desencriptação.
“Software de Desencriptação” vendido na rede Tor
Esta ameaça tem o nome TorrentLocker porque utiliza a chave de registo “Bit Torrent Application” para armazenar as suas definições. Importa salientar que não está de qualquer forma relacionado com o protocolo BitTorrent.
O Bitcoin Trail
Como foi descoberto pela iSIGHT Partners, a variante australiana que foi analisada solicitava que as Bitcoins fossem enviadas para 15aBFwoT5epvRK69Zyq7Z7HMPS7kvBN8Fg. No nosso caso, o endereço mudou para 13qm2ezhWSHWzMsGcxtKDhKNnchfP5Sp3X. Se olhar para as transacções em ambas as carteiras verá que as mesmas são transferidas para 17gH1u6VJwhVD9cWR59jfeinLMzag2GZ43.
Desde Março de 2014, a Bitcoin wallet transferiu mais de 82 272 BTC. Sendo que 1 BTC se encontra avaliado em 480 dólares, o total de transacções chega aos 40 milhões de dólares. Esta carteira já foi associada a outros esquemas no passado, incluindo o roubo de carteiras de Bitcoins ou falso hardware para minar Bitcoints. Não se sabe ao certo se é esta conta pertence ao grupo criminoso responsável pelo TorrentLocker, ou se é algum serviço partilhado entre diferentes grupos.
with other scams in the past, including wallet stealing and selling fake mining hardware. We do not know if this account is owner by the TorrentLocker gang or it is some kind of exchange service used by different groups.
A ESET detecta esta ameaça como Win32/Filecoder.NCC ou Win32/Injector.
