Arquivos WSF são usados para infiltração de ransomware

Técnica permite que malware não seja detectado por medidas tradicionais de segurança; por meio de monitoramento, foi observado que foram empregadas técnicas de ofuscação de código no downloader, tornando o arquivo inicialmente ilegível

Compartilhar:

O Brasil é conhecido no campo da segurança de informação e análise de malware como um país que absorve tecnologias maliciosas “inovadoras” estrangeiras e as adapta para o ambiente local principalmente para burlar as tecnologias tradicionais de proteção. Por meio de um monitoramento do Laboratório de Pesquisas e Ameaças da Trend Micro, os especialistas em segurança descobriram um novo vetor de infecção usado por um ransomware para disseminar ameaças: por meio da extensão de arquivo Windows Script File (WSF).

A empresa vem monitorando o comportamento dos atacantes brasileiros, e consequentemente, trabalhando na atualização das ferramentas de detecção comportamental baseadas em sandboxing customizado. Por meio da execução de um HoneyPot, os pesquisadores puderam rastrear três e-mails que chegaram ao laboratório para dois endereços distintos e cada um deles tinham remetentes únicos, o que demonstrou a existência de um ecossistema por trás do ataque.

Um ponto que chamou a atenção foi o uso de arquivos .wsf como ponto de entrada para evasão das tradicionais tecnologias de detecção do ransomware. Em todos os casos foram empregadas técnicas de ofuscação de código no downloader, tornando o arquivo inicialmente ilegível, mesmo se tratando de um arquivo de texto.

Todos os arquivos .wsf, neste caso, os downloaders do ransomware, são arquivos diferentes, com uma técnica que é usada para burlar a detecção baseada em hash, e cada um dos executáveis baixados segue a mesma linha. Apesar de arquivos executáveis, cada um é único, utilizando como “propriedades do arquivo” informações relacionadas a um widget do Yahoo.

Também chamou a atenção o fato do ransomware exibir a mensagem sobre a criptografia dos arquivos e o pedido de resgate em diferentes línguas, mostrando assim não se tratar de uma ameaça simples ou comum.

Conteúdos Relacionados

Security Report | Destaques

Líderes de SI sugerem reforçar mão-de-obra com automação e novos talentos

Na discussão do painel de debates sobre força de trabalho em Cibersegurança na Febraban Tech, os painelistas destacaram dados do...
Security Report | Destaques

Polícia Federal prende suspeitos de ataques DDoS a instituições públicas

As autoridades cumpriram dois mandados de prisão temporária e quatro de busca e apreensão No Paraná, Distrito Federal e em...
Security Report | Destaques

IA é aposta dos bancos para impulsionar eficiência, produtividade e personalização

Durante a Febraban Tech, CIOs discutem como o uso da IA generativa pode avalancar os negócios no setor bancário, mas...
Security Report | Destaques

“Autonomia da IA sem governança é risco anunciado”, destacam CISOs

Painel de abertura do Security Leaders Curitiba debate os impactos nova geração de Inteligências Artificiais autônomas e como avançar nas...