Nova forma de distribuir ransomware surge no underground russo

Pesquisadores descobriram que uma ferramenta recém-lançada está sendo usada para propagar malware das famílias Locky, Zepto e Pony através do download de scripts codificados em e-mails maliciosos

Compartilhar:

Há alguns dias, pesquisadores da Forcepoint descobriram um novo downloader intermediário, o “Quant Loader”, que está sendo usado para distribuir malware das famílias do cripto-ransomware Locky Zepto e Pony (aka Fareit). Este novo downloader utiliza um Trojan downloader existente, lançado há apenas duas semanas, que está atualmente sendo divulgado em fóruns russos do underground.

 

Mascarados como notificações de faturas, os emails carregam Windows Script File (WSF) maliciosos anexados. Quando executado, o arquivo faz o download de um script codificado que é então decodificado e executado.

 

forcepoint1
(Divulgação)

 

 

Carl Leonard, principal analista de segurança da Forcepoint, disse: “À primeira vista, o payload era desconhecido e acrescentava uma etapa adicional à cadeia de infecção. Através da análise, identificamos este downloader intermediário como o ‘Quant Loader’ e o rastreamos de volta ao autor conhecido como “MrRaix”, aka “DamRaiX”, um membro da equipe russa de hackers conhecida como “C++ GURU”, aka “CPPGURU”.

 

Uma cuidadosa investigação mostrou que o código base é muito semelhante a outras ferramentas que a equipe criou – sistemas para roubar credenciais, roubar carteiras BitCoin e um sistema DDoS chamado Madness DDoS System. Na realidade, parece que o Quant Loader é um Trojan downloader muito básico e não o “carregador .exe profissional/ dll isca” que está sendo anunciado”.

 

forcepoint2
(Divulgação)

 

A Forcepoint acredita que esta campanha seja apenas um período de testes para medir a efetividade do novo downloader intermediário, assim espera que o malware seja aprimorado no futuro e recomenda vigilância dos usuários.

 

Destaques

Colunas & Blogs

Conteúdos Relacionados

Security Report | Destaques

Tribunal de Justiça do Paraná confirma instabilidade repentina no portal oficial

Corte aponta sobrecarga de acessos como causa da falha, mas garante que serviços e segurança dos dados não foram comprometidos
Security Report | Destaques

Polícia Federal faz novas prisões de envolvidos no ciberataque ao Pix

As autoridades detiveram oito pessoas que teriam feito parte da organização criminosa responsável por ataques às provedoras Sinqia e C&M...
Security Report | Destaques

Jaguar Land Rover confirma vazamento de dados em ciberataque

Em nova atualização sobre o incidente cibernético que paralisou fábricas e pontos de venda da montadora, foi informado que o...
Security Report | Destaques

Novas normas de SI do Bacen ampliam foco sobre Ecossistema seguro, apontam CISOs

Líderes de Segurança da Informação ligados ao sistema financeiro apoiaram as novas exigências de Segurança para que instituições financeiras possam...