Um aplicativo falso de rastreamento de contatos COVID-19 oculta o unicórnio Ransomware
Geralmente, você pode dizer muito sobre um cibercriminoso por seus ataques. Os truques que eles usam geralmente nos dão uma boa idéia de quão sofisticado é o adversário, mas uma campanha recente de distribuição do ransomware Unicorn provou que, às vezes, a aparência pode enganar.
Índice
O ransomware Unicorn chega às farmácias italianas
O ataque foi detectado pela primeira vez por um pesquisador de segurança usando o apelido JamesWT. Parece ser voltado diretamente para as farmácias italianas e está aproveitando a crise do COVID-19 para induzir os usuários a instalar uma relativamente nova variedade de ransomware chamada Unicorn.
Também conhecido como unicórnio F ***, o malware parece ter sido criado especialmente para esse fim e parece que o ataque é grande o suficiente para garantir um aviso da Equipe de Resposta de Emergência em Computador (CERT) da Itália.
Os hackers se superaram quando se trata de engenharia social
Começa com um e-mail supostamente vindo da Federação Italiana de Farmacêuticos. Ele afirma que a Federação está lançando uma versão beta de um aplicativo para PC que fornece dados em tempo real sobre a disseminação do novo coronavírus. Há um link para download, e os hackers usaram uma técnica chamada typosquatting para tornar a URL mais convincente.
O site da Federação Italiana de Farmacêuticos é http://www.fofi.it/ e o arquivo executável está hospedado em hxxtp: //www.fofl.it (com um "L" minúsculo em vez de um "i"). Ao usar um domínio visualmente semelhante, é menos provável que a vítima note que algo está errado. Existem ainda mais táticas para manter a atenção longe das atividades maliciosas.
Uma vez iniciado, o arquivo malicioso exibe um mapa com dados que parecem ter sido copiados da Johns Hopkins University. Não é de forma alguma uma nova tática, mas é quase certo manter a vítima distraída enquanto o ransomware está criptografando os arquivos do PC infectado.
Até agora, parece que o ataque foi lançado por um hacker profissional que sabe o que está fazendo. Quando os especialistas dissecaram o ransomware e viram como ele funcionava, eles perceberam que o invasor provavelmente não é tão sofisticado.
O ransomware Unicorn não é uma ameaça sofisticada
Os pesquisadores suspeitam que o atacante é italiano. Há uma falta distinta de erros gramaticais no email de phishing, e alguns artefatos deixados no código sugerem que a pessoa que escreveu o malware se chama Leonardo.
Leonardo parece ser um fã da mitologia grega. A nota de resgate anuncia que a cobra da equipe de Asclépio está chateada e que uma nova era está por vir. A criptografia dos arquivos é comparada ao incêndio de Prometheus, e a vítima é informada de que, ao pagar um resgate de € 300 (cerca de US $ 330), eles terão a chance de se redimir por "anos de pecados e abusos".
A nota de resgate inclui um endereço de bitcoin para onde o dinheiro deve ir, e também há um endereço de e-mail que as vítimas devem usar para entrar em contato com os hackers depois que o resgate for pago. Uma verificação rápida revela que, até agora, o endereço de bitcoin incluído na nota de resgate não registrou nenhuma transação, o que também é bom porque o endereço de email dos hackers parece ser inválido. Parece que Leonardo (ou quem está sentado do outro lado do ransomware Unicorn) não tem absolutamente nenhuma intenção de ajudá-lo a recuperar seus arquivos.
Felizmente, você realmente não precisa da ajuda deles. Uma análise do ransomware mostra que a senha usada para descriptografar os arquivos é enviada em texto sem formatação e pode ser recuperada dos logs de comunicação.
As falhas no ransomware Unicorn compensam até certo ponto as técnicas inteligentes de engenharia social e tornam o ataque um pouco menos perigoso. A campanha não deve ser subestimada, no entanto. A qualquer momento, os atacantes podem mudar para uma variedade de ransomware mais poderosa e causar todos os tipos de problemas.