PayPal falso distribui nova variante do Nemty

Especialista descobre nova variante do ransomware que tenta enganar as vítimas oferecendo a página como alternativa de pagamento com descontos

PayPal-e1568056044156.jpg

Uma página de phishing que se passa pelo PayPal está espalhando uma nova variante do ransomware Nemty. O pesquisador de segurança de codinome “nao_sec” descobriu a variante do ransomware depois de encontrar um site falso do PayPal. O site promete aos usuários um retorno de 3% a 5% para fazer compras através de seu sistema de pagamento. Mas seu objetivo principal é induzi-los a baixar e executar um malware executável chamado “cashback.exe”.

À primeira vista, o site falso se parece com a página oficial do PayPal, pois os cibercriminosos usavam recursos visuais e a estrutura presente no site original. Para fazer isso, os hackers provavelmente roubaram a estrutura e a marca.

À primeira vista, o site falso se parece com a página oficial do PayPal, pois os cibercriminosos usavam recursos visuais e a estrutura presente no site original. Para fazer isso, os hackers provavelmente roubaram a estrutura e a marca.

O pesquisador de segurança suspeita que os operadores desse malware de criptografia de arquivos estão tentando vários canais de distribuição, como foi observado recentemente como uma carga do RIG exploit kit (EK). Eles também utilizaram técnicas de falsificação de nomes de domínio para enganar usuários. Os bandidos conseguiram isso usando caracteres Unicode no nome de domínio de diferentes alfabetos. Para fazer a distinção entre eles, os navegadores os traduzem automaticamente para o Punycode.

Uma vez executado, o cashback.exe carrega a versão 1.4 do Nemty, ransomware que alavancou conexões comprometidas do Remote Desktop Protocol (RDP) e o kit de exploração RIG para disseminação no passado. Esta versão chegou com algumas modificações e correções de bugs. Por exemplo, o pesquisador observa que os autores do malware haviam atualizado a verificação “isRU” que o Nemty usa para verificar a localização de um host infectado. Se o computador estiver localizado na Rússia, Bielorrússia, Cazaquistão, Tajiquistão ou Ucrânia, ele será encerrado antes de iniciar sua rotina de criptografia. Caso contrário, ele criptografa os arquivos da máquina e exclui suas cópias de volume de sombra. Segundo o pesquisador “nao_sec”, felizmente, o ransomware, é detectado pelos produtos antivírus mais populares do mercado.

À primeira vista, o site falso se parece com a página oficial do PayPal, pois os cibercriminosos usavam recursos visuais e a estrutura presente no site original. Para fazer isso, os hackers provavelmente roubaram a estrutura e a marca.

O pesquisador de segurança suspeita que os operadores desse malware de criptografia de arquivos estão tentando vários canais de distribuição, como foi observado recentemente como uma carga do RIG exploit kit (EK). Eles também utilizaram técnicas de falsificação de nomes de domínio para enganar usuários. Os bandidos conseguiram isso usando caracteres Unicode no nome de domínio de diferentes alfabetos. Para fazer a distinção entre eles, os navegadores os traduzem automaticamente para o Punycode.

Uma vez executado, o cashback.exe carrega a versão 1.4 do Nemty, ransomware que alavancou conexões comprometidas do Remote Desktop Protocol (RDP) e o kit de exploração RIG para disseminação no passado. Esta versão chegou com algumas modificações e correções de bugs. Por exemplo, o pesquisador observa que os autores do malware haviam atualizado a verificação “isRU” que o Nemty usa para verificar a localização de um host infectado. Se o computador estiver localizado na Rússia, Bielorrússia, Cazaquistão, Tajiquistão ou Ucrânia, ele será encerrado antes de iniciar sua rotina de criptografia. Caso contrário, ele criptografa os arquivos da máquina e exclui suas cópias de volume de sombra. Segundo o pesquisador “nao_sec”, felizmente, o ransomware, é detectado pelos produtos antivírus mais populares do mercado. Com agências de notícias internacionais.

Compartilhe
Compartilhar no email
Compartilhar no facebook
Compartilhar no twitter
Compartilhar no linkedin
Compartilhar no whatsapp