[bsa_pro_ad_space id=3 delay=8]

Arquivos WSF são usados para infiltração de ransomware

Técnica permite que malware não seja detectado por medidas tradicionais de segurança; por meio de monitoramento, foi observado que foram empregadas técnicas de ofuscação de código no downloader, tornando o arquivo inicialmente ilegível

Compartilhar:

O Brasil é conhecido no campo da segurança de informação e análise de malware como um país que absorve tecnologias maliciosas “inovadoras” estrangeiras e as adapta para o ambiente local principalmente para burlar as tecnologias tradicionais de proteção. Por meio de um monitoramento do Laboratório de Pesquisas e Ameaças da Trend Micro, os especialistas em segurança descobriram um novo vetor de infecção usado por um ransomware para disseminar ameaças: por meio da extensão de arquivo Windows Script File (WSF).

A empresa vem monitorando o comportamento dos atacantes brasileiros, e consequentemente, trabalhando na atualização das ferramentas de detecção comportamental baseadas em sandboxing customizado. Por meio da execução de um HoneyPot, os pesquisadores puderam rastrear três e-mails que chegaram ao laboratório para dois endereços distintos e cada um deles tinham remetentes únicos, o que demonstrou a existência de um ecossistema por trás do ataque.

Um ponto que chamou a atenção foi o uso de arquivos .wsf como ponto de entrada para evasão das tradicionais tecnologias de detecção do ransomware. Em todos os casos foram empregadas técnicas de ofuscação de código no downloader, tornando o arquivo inicialmente ilegível, mesmo se tratando de um arquivo de texto.

Todos os arquivos .wsf, neste caso, os downloaders do ransomware, são arquivos diferentes, com uma técnica que é usada para burlar a detecção baseada em hash, e cada um dos executáveis baixados segue a mesma linha. Apesar de arquivos executáveis, cada um é único, utilizando como “propriedades do arquivo” informações relacionadas a um widget do Yahoo.

Também chamou a atenção o fato do ransomware exibir a mensagem sobre a criptografia dos arquivos e o pedido de resgate em diferentes línguas, mostrando assim não se tratar de uma ameaça simples ou comum.

Conteúdos Relacionados

Security Report | Destaques

Instituição cooperada do Sicoob sofre ataque hacker

A informação começou a circular nesta segunda-feira, após uma série de posts na rede social X acusarem o suposto vazamento...
Security Report | Destaques

Apostar em diversidade é uma resposta para o gap de talentos em Cyber?

A AWS organizou, durante os painéis do re:Inforce 2024, um painel de debates com nove líderes mulheres de Cibersegurança ativas...
Security Report | Destaques

ALLOS eleva maturidade em Segurança Cibernética com jornada tecnológica

Em parceria com a NetSecurity, a administradora de shoppings conseguiu integrar e automatizar processos, proporcionando uma resposta eficaz a incidentes...
Security Report | Destaques

Eneva aposta em assessment para construir uma infraestrutura de segurança resiliente

Em parceria com a Cisco, a empresa decidiu priorizar uma abordagem personalizada para construir uma infraestrutura sólida e robusta. Case...