Pesquisar
stop-spam-940526_640.jpg

Spam usa arquivos IQY para espalhar ransomware

Campanha procura convencer os usuários a abrir um anexo de consulta da internet, que alcança e recupera uma fórmula maliciosa do Excel do servidor de comando e controle do invasor

stop-spam-940526_640.jpg

Pesquisadores de segurança da Lastline, empresa americana de segurança cibernética e fornecedora de plataforma de detecção de violações, detectaram uma campanha de spam usando os arquivos internet query (IQYs) para espalhar o ransomware Paradise.

IQYs, ou arquivos de consulta da internet, são arquivos de texto simples, lidos pelo Excel, que funcionam para baixar dados da web.

Os pesquisadores da Lastline observam que a campanha procura convencer os usuários a abrir um anexo IQY, que alcança e recupera uma fórmula maliciosa do Excel do servidor de comando e controle (C&C) do invasor. “Essa fórmula, por sua vez, contém um comando para executar um comando do PowerShell que fará o download e acionará um arquivo executável para baixar o ransomware Paradise”, explica a fornecedora.

Os pesquisadores explicam que como esses IQYs não contêm carga útil (apenas uma URL), eles podem ser um desafio para as empresas detectarem. “As organizações podem precisar contar com um serviço de reputação de URLs de terceiros se não tiverem dispositivos para analisar e interrogar essas URLs”, dizem eles.

O Paradise em si não é novo: a variante existe desde 2017. No entanto, esta nova versão contém alguns aprimoramentos projetados para melhorar sua capacidade de evitar a detecção por filtros de segurança. Isso inclui o uso do algoritmo de rotina de criptografia Salsa20, que pode ser implementado no código-fonte do malware, para que não haja necessidade de chamar uma biblioteca de criptografia.

Isso torna mais difícil a detecção de ferramentas de segurança, pois muitas ferramentas AV dependem de detectar chamadas de API para reconhecer o ransomware. Também torna mais difícil para os analistas entender exatamente que tipo de criptografia está sendo usada, segundo a Lastline.

Os pesquisadores tentaram obter uma resposta da equipe de suporte ao ransomware, mas não receberam nenhuma, indicando que a campanha não está totalmente operacional. No entanto, eles verificaram que o ransomware não será ativado se o idioma do usuário for russo, cazaque, bielorrusso, ucraniano ou tártaro, o que pode sugerir suas origens.

Em sua pesquisa, a Lastline verificou que, após realizar a verificação de idioma, o Paradise iniciou uma rotina de criptografia que se destacava entre os processos empregados por outras famílias de ransomware.

Após a conclusão de sua rotina de criptografia, a Paradise lançou uma nota de resgate em disco. Esta mensagem não instruiu a vítima a entrar em contato com um endereço de e-mail ou visitar um portal de pagamento via Tor, instruções que as notas de resgate de outras famílias de ransomware geralmente dão. Em vez disso, instruiu os usuários a clicar em um URL que os redirecionou para uma página de login do chat, onde foram instruídos a especificar seu ID de infecção pessoal. A Lastline tentou se comunicar com o recurso de bate-papo, mas nunca recebeu uma resposta. Mesmo assim, seus pesquisadores observaram que o formato de data e hora da janela de bate-papo coincidia com o formato usado por muitos países europeus. Essas informações podem fornecer algumas informações sobre a localização geral dos atacantes de ransomware ou suas preferências de direcionamento.