Ransomware infecta sorrateiramente as vítimas, disfarçando-se como software anti-vírus

Uma família de ransomware bem-sucedida, que vem aterrorizando organizações em todo o mundo, foi atualizada com um novo truque para atrair as vítimas para a instalação de malwares de bloqueio de arquivos: o uso de um software antivírus.

O Dharma surgiu pela primeira vez em 2016 e o ​​ransomware tem sido responsável por vários incidentes cibernéticos de alto perfil, incluindo a queda de uma rede hospitalar no Texas no ano passado .

O grupo por trás da Dharma procura atualizar regularmente suas campanhas para garantir que os ataques permaneçam eficazes e tenham a melhor chance de extorquir pagamentos de resgate em troca da descriptografia de redes e arquivos bloqueados de sistemas Windows.

Agora, os ataques cibernéticos evoluíram de novo e os pesquisadores de segurança cibernética da Trend Micro detalharam um novo meio do Dharma sendo implantado: agrupando-o dentro de uma falsa instalação de software anti-vírus.

Como muitas campanhas de ransomware, os ataques de Dharma começam com e-mails de phishing . As mensagens afirmam ser da Microsoft e que o PC da vítima Windows está ’em risco’ e ‘corrompido’ seguindo ‘comportamento incomum’, incitando o usuário a ‘atualizar e verificar’ seu antivírus acessando um link de download.

Se o usuário prosseguir, o ransomware recupera dois downloads: o payload do ransomware Dharma e uma versão antiga do software antivírus da empresa de segurança cibernética ESET.

Quando o arquivo de extração automática é executado, o Dharma começa a criptografar arquivos no segundo turno enquanto o usuário é solicitado a seguir as instruções de instalação do removedor ESET AV – a interface é exibida na área de trabalho e requer interação do usuário durante o processo de instalação, atuando como uma distração da atividade maliciosa.

Quando a instalação estiver completa, a vítima se encontrará confrontada com uma nota de resgate, exigindo um pagamento por criptografia em troca de desbloquear os arquivos.

“O artigo descreve a prática bem conhecida de malware para ser empacotado com aplicativos legítimos. No caso específico que a Trend Micro está documentando, um ESET AV Official remover e não modificado foi usado. No entanto, qualquer outro aplicativo pode ser usado dessa maneira. “, disse um comunicado da ESET, após ser informado sobre a pesquisa da Trend Micro.

Embora não seja tão importante quanto durante o auge de ataques como o WannaCry e o NotPetya em 2017, o ransomware ainda continua sendo uma ameaça para as organizações, pois os invasores continuam desenvolvendo e implantando novas táticas e variantes do malware de bloqueio de arquivos.

“Como comprovado pelas novas amostras do Dharma, muitos agentes maliciosos ainda estão tentando atualizar antigas ameaças e usar novas técnicas. O Ransomware continua sendo uma ameaça cara e versátil”, disse Raphael Centeno, pesquisador de segurança da Trend Micro.

Para evitar ser vítima do Dharma e ameaças semelhantes, os pesquisadores recomendam que as organizações adotem uma boa higiene de segurança cibernética, como a proteção de gateways de e-mail, o backup regular de arquivos e a manutenção e atualização de sistemas e aplicativos.

Os indicadores de compromisso para esta campanha do Dharma foram compartilhados na análise do ataque da Trend Micro .