Arquivos WSF são usados para infiltração de ransomware

Técnica permite que malware não seja detectado por medidas tradicionais de segurança; por meio de monitoramento, foi observado que foram empregadas técnicas de ofuscação de código no downloader, tornando o arquivo inicialmente ilegível

Compartilhar:

O Brasil é conhecido no campo da segurança de informação e análise de malware como um país que absorve tecnologias maliciosas “inovadoras” estrangeiras e as adapta para o ambiente local principalmente para burlar as tecnologias tradicionais de proteção. Por meio de um monitoramento do Laboratório de Pesquisas e Ameaças da Trend Micro, os especialistas em segurança descobriram um novo vetor de infecção usado por um ransomware para disseminar ameaças: por meio da extensão de arquivo Windows Script File (WSF).

A empresa vem monitorando o comportamento dos atacantes brasileiros, e consequentemente, trabalhando na atualização das ferramentas de detecção comportamental baseadas em sandboxing customizado. Por meio da execução de um HoneyPot, os pesquisadores puderam rastrear três e-mails que chegaram ao laboratório para dois endereços distintos e cada um deles tinham remetentes únicos, o que demonstrou a existência de um ecossistema por trás do ataque.

Um ponto que chamou a atenção foi o uso de arquivos .wsf como ponto de entrada para evasão das tradicionais tecnologias de detecção do ransomware. Em todos os casos foram empregadas técnicas de ofuscação de código no downloader, tornando o arquivo inicialmente ilegível, mesmo se tratando de um arquivo de texto.

Todos os arquivos .wsf, neste caso, os downloaders do ransomware, são arquivos diferentes, com uma técnica que é usada para burlar a detecção baseada em hash, e cada um dos executáveis baixados segue a mesma linha. Apesar de arquivos executáveis, cada um é único, utilizando como “propriedades do arquivo” informações relacionadas a um widget do Yahoo.

Também chamou a atenção o fato do ransomware exibir a mensagem sobre a criptografia dos arquivos e o pedido de resgate em diferentes línguas, mostrando assim não se tratar de uma ameaça simples ou comum.

Destaques

Colunas & Blogs

Conteúdos Relacionados

Security Report | Destaques

Hospital Sírio-Libanês lança projeto de conscientização em Cyber Security

Com o apoio da Fortinet na produção de palestras e conteúdos, a instituição assegurou a participação de vários profissionais do...
Security Report | Destaques

Capital One Arena faz da segurança física a primeira linha de defesa para a Cibersegurança

Com o objetivo de evoluir seus níveis de proteção física e lógica dentro das dependências do estádio, a Monumental Entertainment,...
Security Report | Destaques

Desafios em ascensão: a jornada dos CISOs brasileiros rumo à proteção das APIs

Estudos apontam que a proteção das interfaces de aplicações é uma das principais lacunas no controle da Segurança. Na visão...
Security Report | Destaques

Após 5 dias da ação do FBI, LockBit está de volta com novas estratégias de ciberataque

No sábado (24), o administrador do grupo anunciou retomada dos negócios ilícitos, reconhecendo que os sites foram bloqueados pelas polícias...