Nova onda de ransomware chega à Rússia

Entre a quantidade crescente de anexos maliciosos de JavaScript em e-mails que observamos em janeiro de 2019, investigadores da ESET detetaram uma onda de ransomware direcionada principalmente a utilizadores russos.

Em janeiro de 2019, houve um aumento dramático nas deteções de JavaScript malicioso como anexos de e-mail; um vetor de ataque que esteve praticamente inativo em 2018. Entre as novas campanhas maliciosas de spam baseadas nesse vetor, detetamos uma nova onda de spam em russo que distribui um ransomware conhecido como Shade ou Troldesh; que é detetado pela ESET como Win32 / Filecoder.Shade.

Esta campanha parece ser uma atualização de uma campanha de spam que começou a distribuir o ransomware Shade em outubro de 2018.

A campanha de janeiro de 2019

Como mostrado pela nossa telemetria, a campanha de outubro de 2018 apresentou um ritmo estável até à segunda quinzena de dezembro de 2018, com uma pausa perto do Natal, e depois reativada em meados de janeiro de 2019, duplicando seu tamanho, como pode ser visto na Figura 1. As quedas que podem ser vistas no gráfico acontecem nos fins de semana, o que sugere que os invasores apontam para endereços de e-mail de empresas.

Figura 1 – Deteção de anexos de JavaScript maliciosos que difundiam o Win32/Filecoder.Shade desde Outubro de 2018

Como referimos anteriormente, esta campanha faz parte de uma enorme tendência que observamos desde o início de 2019 – o regresso de JavaScript maliciosos como anexo. A Figura 2 mostra a evolução na nossa telemetria.

Figura 2 – Deteção de JavaScript malicioso distribuidoras através de anexos de e-mail, ctions of malicious JavaScript distributed via email attachments, detetados como JS/Danger.ScriptAttachment, no ano passado

Cabe mencionar que a campanha que detetamos, em janeiro de 2019, distribui o ransomware Shade principalmente na Rússia, onde se registam 52% das deteções totais deste anexo JavaScript malicioso. Outros países afetados são a Ucrânia, França, Alemanha e Japão como é possível verificar na Figura 3.

Figura 3 – Deteções feitas pelas soluções ESET de anexos de JavaScript malicioso que difundiram Win32/Filecoder.Shade entre 1 e 24 de janeiro de 2019

Com base na nossa análise, um típico ataque desta campanha nova começa com o envio de um e-mail escrito em russo, que tem um ficheiro ZIP anexo com o nome “info.zip” o “inf.zip”.

Estes e-mails maliciosos apresentam-se como sendo uma atualização de um pedido que parece vir de organizações russas legítimas. Os e-mails que vimos chegam soba a identidade do banco russo “B&N Bank” (que recentemente se fundiu com o Otkritie Bank), e a cadeia de retalho Magnit. Um dos e-mails detetados pelos sistemas ESET, traduzido para português:

Assunto: Detalhes do pedido

Olá,

Venho por este meio enviar os detalhes do pedido. O document segue anexo. 

Denis Kudrashev, manager

Figura 4 – Exemplo de um e-mail de spam usado na campanha de Janeiro de 2019

O ficheiro ZIP contém um ficheiro de JavaScript denominado “Информация.js“ (que traduzido seria “Informação”). Uma vez extraído e executado, o JavaScript descarrega um loader malicioso, que é detetado pelos produtos ESET como Win32/Injector. O loader malicioso desencripta e executa o payload final – o ransomware Shade.

O loader malicioso é descarregado de URL’s de sites WordPress legítimos comprometidos, sob a aparência de um ficheiro de imagem. Para comprometer os sites no WordPress, os hackers realizaram ataques de force brute de passwords a grande escala através de bots automatizados. Dados da nossa telemetria mostram centenas destes URLs, todos a terminar com o string “ssj.jpg”, alojando o ficheiro loader malicioso.

O loader é assinado utilizando uma assinatura digital inválida, que refere ser utilizada por Comodo, como se pode ver na Figura 5. O nome em “Signer information” e o registo de tempo são únicos para cada amostra.

Para além disto, o loader tenta camuflar-se ainda mais simulando o processo do sistema legítimo Client Server Runtime Process (csrss.exe). Copia-se a si mesmo dentro de C:\ProgramData\Windows\csrss.exe, onde “Windows” é uma pasta oculta criada pelo malware e que geralmente não está localizada no ProgramData.

Figura 6 – O malware posicionado como processo de sistema a utilizar detalhes da versão copiados do binário legítimo do Windows Server 2012 R2

O ransomware Shade

O payload final desta campanha maliciosa é o ransomware chamado Shade ou Troldesh. Visto pela primeira vez ativo no final de 2014, o ransomware encripta uma ampla gama de ficheiros em unidades de disco locais. Na recente campanha, o ransomware acrescenta a extensão .crypted000007 aos ficheiros encriptados.

As instruções de pagamento são apresentadas às vítimas num ficheiro TXT, em russo e em inglês, que é descarregado em todos os discos do computador afetado. A mensagem na nota de resgate é idêntica à utilizada na campanha reportada em outubro de 2018.

Figura 7 – A nota de resgate do ransomware Shade de Janeiro de 2019

Como estar protegido

Para evitar ser vítima de uma campanha de spam malicioso, verifique sempre a autenticidade dos e-mails antes de abrir qualquer anexo ou clicar num link incluído no e-mail. Caso necessário, confirme os dados de contacto que aparecem na página web da organização que aparentemente é quem envia e-mail.

Para utilizadores de Gmail, pode ser útil saber que o Gmail bloqueia anexos com JavaScript, tanto na caixa de saída como de entrada há pelo menos dois anos.

Utilizadores de outros serviços de e-mail, incluindo servidores de e-mail de empresas, devem apoiar-se na prevenção – a menos que utilizem alguma solução de segurança capaz de detetar e bloquear ficheiros JavaScript maliciosos.

Vários módulos diferentes nos produtos de segurança da ESET detetam e bloqueiam de forma independente ficheiros JavaScript maliciosos.

Para evitar que o seu site do WordPress seja comprometido, utilize uma password forte e duplo fator de autenticação. É igualmente importante assegurar-se que atualiza o próprio WordPress, assim como os plugins e temas que utilize.

Indicadores de Compromisso (IoCs)

  • Hashes de exemplo dos ficheiros ZIP maliciosos anexos
  • Hashes de exemplo dos downloaders JavaScrip
  • Hashes de exemplo do ransomware Shade
  • String específico da campanha em URLs que alojam o ransomware Shade

DEIXE UMA RESPOSTA

Please enter your comment!
Please enter your name here

twenty − five =