Hackers estão enviando Ransomware usando imagem do Super Mario via Excel

Criminosos cibernéticos agora estão espalhando uma variável do ransomware Gandcrab usando a imagem em esteganografia do Super Mario através de documentos maliciosos do Excel.

Muito recentemente, um pesquisador de segurança Matthew Rowen, da Bromium, encontrou uma planilha que contém uma amostra de trojan durante uma análise estática.

A planilha tem uma macro incorporada e a parte do código revela que a macro deve sair imediatamente se a origem da máquina infectada não for baseada na Itália usando o código do país 39.

Além disso, os invasores usam algumas das técnicas de engenharia social para enganar os usuários fazendo os habilitar a macro que leva a infectar a máquina da vítima.

Na mensagem diz ‘Não é possível visualizar a pré-visualização online. Para visualizar o conteúdo, você precisa clicar em “ativar edição” e “ativar conteúdo” ‘. 

Quando ele analisou a amostra dentro da caixa de proteção, revelou os scripts ofuscados do PowerShell e cmd.exe.

os autores de malware estão trabalhando duro, usando o marketing de afiliação para atrair o maior interesse e os melhores preços que os autores de malware precisam para fazer um nome para si mesmos” disse o pesquisador.

Imagem Super Mario usando esteganografia

A parte interessante é que o script do PowerShell está tentando baixar as imagens do Super Mario e extrair alguns dos dados dos pixels.

Neste caso, o pesquisador viu que as imagens armadas se espalham via malspam.

De acordo com o Bromium , “Um embaralhamento há um manual para desfocar o código e você pode ver mais claramente a operação bit a bit nos pixels azuis e verdes. Uma vez que apenas os 4 bits inferiores de azul e verde foram usados, isso não fará uma grande diferença na imagem quando visto por um humano, mas é bastante trivial esconder algum código dentro dele. “

Além disso, os scripts do PowerShell altamente ofuscados estão escondidos atrás da imagem do Super Mario e encontram no canal azul e verde a partir de pixels em uma pequena região da imagem.

Por fim, ele se conecta ao servidor remoto e faz o download do ransomware Gandcrab para infectar o usuário, criptografar os arquivos e exigir o resgate, a fim de fornecer o acesso ao arquivo de volta.

Atualmente, podemos ver que os autores de malware estão usando muito a tecnica de esteganografia para evitar a detecção de segurança que continuam aumentando a cada dia.

Adriano Lopes

Adriano Lopes é o criador e proprietário do MundoHacker.net.br. Desenvolvedor Web, Hacker Ético, Programador C, Python, Especialista em Segurança da Informação.