Os invasores estão usando cada vez mais atualizações de software falsas da Microsoft e do Google para distribuir malware. O exemplo mais recente disso é o ransomware HavanaCrypt que a Trend Micro descobriu recentemente disfarçado de Google Software Update.
Fonte da imagem: Pixabay
O novo ransomware tem vários recursos. O servidor C&C do malware usa um endereço IP de hospedagem na web da Microsoft, o que é incomum para ransomware. Especialistas descobriram que o HavanaCrypt possui muitos métodos para verificar se está sendo executado em um ambiente virtual. Para criptografar os dados das vítimas, o malware usa as funções do gerenciador de senhas de código aberto KeePass Password Safe, e a função QueueUserWorkItem é usada para acelerar o processo de criptografia. De acordo com a Trend Micro, o malware está em desenvolvimento porque não envia mensagens de resgate aos dispositivos das vítimas para descriptografar os dados.
HavanaCrypt adicionou à lista de ameaças que os invasores usam atualizações falsas para distribuir. Nos últimos meses, foram registradas várias campanhas maliciosas que distribuem ransomware sob o disfarce de atualizações para Windows 10, Microsoft Exchange e Google Chrome. Criar atualizações falsas não é difícil para os invasores, então eles usam esse método para espalhar todas as classes de malware, incluindo ransomware, roubo de dados e programas de vigilância.
Quanto ao HavanaCrypt, o malware é compilado em .NET e usa a ferramenta de código aberto Obfuscar para ofuscar o código. Depois de entrar no sistema da vítima, o malware verifica no registro a presença de uma entrada do GoogleUpdate e continua a funcionar somente se essa entrada não existir. Em seguida, o malware passa por uma verificação de quatro estágios para determinar o ambiente virtual. Para fazer isso, ele verifica os serviços que são comumente usados pelas máquinas virtuais e também procura os arquivos associados a eles. Além disso, ele compara o endereço MAC do sistema infectado com prefixos identificadores exclusivos que são comumente usados nas configurações da máquina virtual. Se HavanaCrypt determinar que está em um ambiente virtual, ele para de funcionar.
Se o vírus não reconhecer o ambiente virtual, na próxima etapa ele envia uma solicitação ao servidor de gerenciamento e recebe dele um arquivo em lote com configurações para o Windows Defender para que o antivírus não detecte a presença do ransomware. Ao mesmo tempo, o malware interrompe muitos processos, principalmente relacionados a aplicativos de banco de dados SQL e MySQL, além de outros aplicativos, como o Microsoft Office.
Depois disso, HavanaCrypt exclui os backups e quebra a funcionalidade das funções que poderiam ser usadas para restaurá-los. Para criptografia, é utilizado o código do gerenciador de senhas KeePass e, para agilizar o processo, a função QueueUserWorkItem. O código do KeePass é usado para gerar chaves de criptografia pseudo-aleatórias. Isso é feito para complicar o desenvolvimento de uma ferramenta para descriptografar dados. O uso da hospedagem da Microsoft para hospedar o servidor de controle de malware destaca o desejo dos invasores de ocultar sua infraestrutura em serviços legítimos para evitar a detecção. Especialistas observam que uma enorme quantidade de malware está atualmente hospedada na nuvem.