Arquivos WSF são usados para infiltração de ransomware

Técnica permite que malware não seja detectado por medidas tradicionais de segurança; por meio de monitoramento, foi observado que foram empregadas técnicas de ofuscação de código no downloader, tornando o arquivo inicialmente ilegível

Compartilhar:

O Brasil é conhecido no campo da segurança de informação e análise de malware como um país que absorve tecnologias maliciosas “inovadoras” estrangeiras e as adapta para o ambiente local principalmente para burlar as tecnologias tradicionais de proteção. Por meio de um monitoramento do Laboratório de Pesquisas e Ameaças da Trend Micro, os especialistas em segurança descobriram um novo vetor de infecção usado por um ransomware para disseminar ameaças: por meio da extensão de arquivo Windows Script File (WSF).

A empresa vem monitorando o comportamento dos atacantes brasileiros, e consequentemente, trabalhando na atualização das ferramentas de detecção comportamental baseadas em sandboxing customizado. Por meio da execução de um HoneyPot, os pesquisadores puderam rastrear três e-mails que chegaram ao laboratório para dois endereços distintos e cada um deles tinham remetentes únicos, o que demonstrou a existência de um ecossistema por trás do ataque.

Um ponto que chamou a atenção foi o uso de arquivos .wsf como ponto de entrada para evasão das tradicionais tecnologias de detecção do ransomware. Em todos os casos foram empregadas técnicas de ofuscação de código no downloader, tornando o arquivo inicialmente ilegível, mesmo se tratando de um arquivo de texto.

Todos os arquivos .wsf, neste caso, os downloaders do ransomware, são arquivos diferentes, com uma técnica que é usada para burlar a detecção baseada em hash, e cada um dos executáveis baixados segue a mesma linha. Apesar de arquivos executáveis, cada um é único, utilizando como “propriedades do arquivo” informações relacionadas a um widget do Yahoo.

Também chamou a atenção o fato do ransomware exibir a mensagem sobre a criptografia dos arquivos e o pedido de resgate em diferentes línguas, mostrando assim não se tratar de uma ameaça simples ou comum.

Conteúdos Relacionados

Security Report | Destaques

Ciberataque a provedor de TI gera prejuízo de R$ 500 milhões em serviços financeiros

A C&M Software, que atua como parceira terceirizada na administração de troca de informações entre as instituições do Sistema de...
Security Report | Destaques

Ransomware: 66% das empresas atingidas no Brasil pagaram resgate, alerta pesquisa

A Sophos apresentou, em encontro fechado com jornalistas, a edição de 2025 do estudo “State of Ransomware”, que ressaltou a...
Security Report | Destaques

Incidente cibernético tira do ar portal da Prefeitura de Dourados (MS)

Desde o início dessa semana, o site do governo municipal estava impossibilitado de ser acessado pelos cidadãos devido a uma...
Security Report | Destaques

Q-Day à vista: riscos devem acelerar transição para criptografia pós-quântica?

Embora a computação quântica ainda esteja em fase experimental, adversários já se antecipam ao coletar dados criptografados que poderão ser...