Atualizações de software falsas do Google espalham novo ransomware

 Atualizações de software falsas do Google espalham novo ransomware. “HavanaCrypt” está usando um servidor de C&C hospedado em um endereço IP do Microsoft Hosting Service, dizem os pesquisadores.

Os agentes de ameaças estão usando cada vez mais atualizações falsas de software da Microsoft e do Google para tentar infiltrar malware nos sistemas de destino.

O exemplo mais recente é o “HavanaCrypt”, uma nova ferramenta de ransomware que pesquisadores da Trend Micro descobriram recentemente disfarçada como um aplicativo de atualização de software do Google. O servidor de comando e controle (C2) do malware está hospedado em um endereço IP de hospedagem na Web da Microsoft, o que é um pouco incomum para ransomware, de acordo com a Trend Micro.

Também é notável, de acordo com os pesquisadores, as muitas técnicas do HavanaCrypt para verificar se ele está rodando em um ambiente virtual; o uso pelo malware do código do gerenciador de chaves de código aberto KeePass Password Safe durante a criptografia; e seu uso de uma função .Net chamada “QueueUserWorkItem” para acelerar a criptografia. A Trend Micro observa que o malware provavelmente é um trabalho em andamento porque não solta uma nota de resgate nos sistemas infectados.

HavanaCrypt está entre um número crescente de ferramentas de ransomware e outros malwares que nos últimos meses foram distribuídos na forma de atualizações falsas para Windows 10, Microsoft Exchange e Google Chrome. Em maio, pesquisadores de segurança detectaram ransomware apelidado de “Magniber” fazendo as rondas disfarçados de atualizações do Windows 10 . No início deste ano, pesquisadores da Malwarebytes observaram os operadores do Magnitude Exploit Kit tentando enganar os usuários para baixá-lo, vestindo o malware como uma atualização do Microsoft Edge .

Como a Malwarebytes observou na época, as atualizações falsas do Flash costumavam ser um acessório das campanhas de malware baseadas na Web até que a Adobe finalmente aposentou a tecnologia devido a questões de segurança. Desde então, os invasores têm usado versões falsas de outros produtos de software atualizados com frequência para tentar enganar os usuários para que baixem seus malwares – sendo os navegadores um dos mais frequentemente abusados.

Criar atualizações falsas de software é trivial para os invasores, então eles tendem a usá-los para distribuir todas as classes de malware, incluindo ransomware, ladrões de informações e cavalos de Troia, diz um analista da Intel 471 que solicitou anonimato. “Um usuário não técnico pode ser enganado por tais técnicas, mas os analistas de SOC ou respondentes a incidentes provavelmente não serão enganados“, diz o analista.

Especialistas em segurança há muito observam a necessidade de as organizações terem defesas em várias camadas para se defender contra ransomware e outras ameaças. Isso inclui ter controles para detecção e resposta de endpoints, recursos de monitoramento de comportamento de usuários e entidades, segmentação de rede para minimizar danos e limitar o movimento lateral, criptografia e controle de acesso e identidade forte – incluindo autenticação multifator. 

Como os adversários geralmente visam os usuários finais, também é fundamental que as organizações tenham práticas sólidas para educar os usuários sobre riscos de phishing e golpes de engenharia social projetados para fazer com que baixem malware ou sigam links para sites de coleta de credenciais.

Como HavanaCrypt funciona

HavanaCrypt é um malware .Net que usa uma ferramenta de código aberto chamada Obfuscar para ofuscar seu código. Uma vez implantado em um sistema, o HavanaCrypt verifica primeiro se o registro “GoogleUpdate” está presente no sistema e só continua com sua rotina se o malware determinar que o registro não está presente.

O malware passa por um processo de quatro estágios para determinar se a máquina infectada está em um ambiente virtualizado. Primeiro, ele verifica o sistema quanto a serviços como VMWare Tools e vmmouse que as máquinas virtuais normalmente usam. Em seguida, ele procura por arquivos relacionados a aplicativos virtuais, seguido por uma verificação de nomes de arquivos específicos usados ​​em ambientes virtuais. Por fim, ele compara o endereço MAC dos sistemas infectados com prefixos de identificadores exclusivos normalmente usados ​​nas configurações da máquina virtual. Se qualquer uma das verificações mostrar que a máquina infectada está em um ambiente virtual, o malware se encerra, disse a Trend Micro.

Uma vez que o HavanaCrypt determina que não está sendo executado em um ambiente virtual, o malware busca e executa um arquivo em lote de um servidor C2 hospedado em um serviço de hospedagem na Web legítimo da Microsoft. O arquivo em lote contém comandos para configurar o Windows Defender de forma a permitir ameaças detectadas. O malware também interrompe uma longa lista de processos, muitos dos quais estão relacionados a aplicativos de banco de dados, como SQL e MySQL, ou a aplicativos de desktop, como o Microsoft Office.

As próximas etapas do HavanaCrypt incluem excluir cópias de sombra nos sistemas infectados, excluir funções para restaurar dados e coletar informações do sistema, como o número de processadores que o sistema possui, tipo de processador, número do produto e versão do BIOS. O malware usa a função QueueUserWorkItem e o código do KeePass Password Safe como parte do processo de criptografia.

“QueueUserWorkItem é uma técnica padrão para criar pools de threads“, diz o analista da Intel 471. “O uso de pools de threads acelerará a criptografia dos arquivos na máquina vítima.“

Com o KeePass, o autor do ransomware copiou o código da ferramenta de gerenciamento de senhas e usou esse código em seu projeto de ransomware. “O código copiado é usado para gerar chaves de criptografia pseudoaleatórias”, observa o analista. “Se as chaves de criptografia fossem geradas de maneira previsível e repetível, talvez fosse possível que pesquisadores de malware desenvolvessem ferramentas de descriptografia”.

O uso pelo invasor de um serviço de hospedagem da Microsoft para o servidor C2 destaca a tendência mais ampla dos invasores de ocultar a infraestrutura maliciosa em serviços legítimos para evitar a detecção. “Há uma grande quantidade de códios maliciosos hospedada em ambientes de nuvem hoje, seja Amazon, Google ou Microsoft e muitos outros”, diz John Bambenek, principal caçador de ameaças da Netenrich. “A natureza altamente transitória dos ambientes torna os sistemas de reputação inúteis.”

Fonte: DarkReading