De acordo com informações da ESET, uma nova onda de spam em russo está propagando o ransomware Shade. Conhecido também como Troldesh, ele é detectado pelas soluções de segurança da empresa como Win32/Filecoder.Shade.
ESET: ransomware Shade infecta PCs na Rússia e em outros países
A campanha responsável pela distribuição do ransomware Shade em janeiro de 2019 está ativa principalmente na Rússia, onde foram registradas 52% do total de detecções desse anexo malicioso em emails em JavaScript. Outros países afetados são a Ucrânia, a França, a Alemanha e o Japão.
O ransomware Shade chega em um email escrito em russo contendo um arquivo ZIP anexado com o nome “info.zip” ou “inf.zip”.
Esses emails maliciosos são apresentados como uma atualização de um pedido que parece vir de organizações russas legítimas. Os emails detectados pela ESET se passaram pelo banco russo “B&N Bank” (que se uniu recentemente com o Otkritie Bank) e a cadeia de retail Magnit.
O texto de um dos emails detectados pelos sistemas da ESET pode ser visto abaixo (traduzido para o português):
“Assunto: Detalhes do pedido
Oi!
Estou enviando os detalhes do pedido.
O documento está anexado.
Denis Kudrashev, gerente”
O arquivo ZIP contém um arquivo JavaScript chamado “Информация.js” (que seria traduzido como “Informações”). Uma vez extraído e executado, o arquivo JavaScript baixa um loader malicioso, que é detectado pelos produtos da ESET, como o Win32/Injector. O loader malicioso descriptografa e executa o payload final – o ransomware Shade.
O loader malicioso é baixado de URLs de sites comprometidos legítimos do WordPress, com a aparência de um arquivo de imagem. Para comprometer os sites no WordPress, os cibercriminosos realizaram ataques de força bruta de senhas em grande escala por meio de bots automatizados. Nossos dados de telemetria mostram centenas dessas URLs, todas terminadas com a string “ssj.jpg”, hospedando o arquivo com o loader malicioso.
O loader usa uma assinatura digital inválida, que afirma ser usada por Comodo, como pode ser visto na imagem abaixo. O nome em “Signer information” e o registro de tempo são exclusivos para cada amostra:
Além disso, o loader tenta se camuflar ainda mais, simulando o processo de sistema legítimo Client Server Runtime Process (csrss.exe). O loader copia a si mesmo dentro de C:\ProgramData\Windows\csrss.exe, onde “Windows” é uma pasta oculta criada pelo malware e que geralmente não está localizada em ProgramData:
O payload final dessa campanha maliciosa é o ransomware Shade ou Troldesh. Visto pela primeira vez em atividade no final de 2014, o ransomware criptografa uma ampla variedade de tipos de arquivos em unidades locais. Na campanha recente, o ransomware adiciona a extensão .crypted000007 aos arquivos criptografados.
As instruções de pagamento são apresentadas às vítimas em um arquivo TXT, em russo e inglês, que é droppeado para todos os discos no computador afetado. A mensagem na nota de resgate é idêntica a usada na campanha anterior reportada em outubro de 2018:
Para evitar ser vítima de campanhas desse tipo, sempre verifique a autenticidade dos emails antes de abrir qualquer anexo ou clicar em um link contido na mensagem. Se necessário, confirme as informações de contato exibidas no site da empresa que aparentemente enviou o email.
Para os usuários do Gmail, pode ser útil saber que o serviço bloqueia anexos em JavaScript, tanto na caixa de saída quanto na de entrada há pelo menos dois anos.
Os usuários de outros serviços de email, incluindo servidores de email de empresas, devem estar atentos e prevenidos – a menos que usem uma solução de segurança capaz de detectar e bloquear arquivos maliciosos em JavaScript.
