Atacantes distribuem ransomware HavanaCrypt disfarçado de atualizações do Google

Os invasores estão usando cada vez mais atualizações de software falsas da Microsoft e do Google para distribuir malware. O exemplo mais recente disso é o ransomware HavanaCrypt que a Trend Micro descobriu recentemente disfarçado de Google Software Update.

Fonte da imagem: Pixabay

O novo ransomware tem vários recursos. O servidor C&C do malware usa um endereço IP de hospedagem na web da Microsoft, o que é incomum para ransomware. Especialistas descobriram que o HavanaCrypt possui muitos métodos para verificar se está sendo executado em um ambiente virtual. Para criptografar os dados das vítimas, o malware usa as funções do gerenciador de senhas de código aberto KeePass Password Safe, e a função QueueUserWorkItem é usada para acelerar o processo de criptografia. De acordo com a Trend Micro, o malware está em desenvolvimento porque não envia mensagens de resgate aos dispositivos das vítimas para descriptografar os dados.

HavanaCrypt adicionou à lista de ameaças que os invasores usam atualizações falsas para distribuir. Nos últimos meses, foram registradas várias campanhas maliciosas que distribuem ransomware sob o disfarce de atualizações para Windows 10, Microsoft Exchange e Google Chrome. Criar atualizações falsas não é difícil para os invasores, então eles usam esse método para espalhar todas as classes de malware, incluindo ransomware, roubo de dados e programas de vigilância.

Quanto ao HavanaCrypt, o malware é compilado em .NET e usa a ferramenta de código aberto Obfuscar para ofuscar o código. Depois de entrar no sistema da vítima, o malware verifica no registro a presença de uma entrada do GoogleUpdate e continua a funcionar somente se essa entrada não existir. Em seguida, o malware passa por uma verificação de quatro estágios para determinar o ambiente virtual. Para fazer isso, ele verifica os serviços que são comumente usados ​​pelas máquinas virtuais e também procura os arquivos associados a eles. Além disso, ele compara o endereço MAC do sistema infectado com prefixos identificadores exclusivos que são comumente usados ​​nas configurações da máquina virtual. Se HavanaCrypt determinar que está em um ambiente virtual, ele para de funcionar.

Se o vírus não reconhecer o ambiente virtual, na próxima etapa ele envia uma solicitação ao servidor de gerenciamento e recebe dele um arquivo em lote com configurações para o Windows Defender para que o antivírus não detecte a presença do ransomware. Ao mesmo tempo, o malware interrompe muitos processos, principalmente relacionados a aplicativos de banco de dados SQL e MySQL, além de outros aplicativos, como o Microsoft Office.

Depois disso, HavanaCrypt exclui os backups e quebra a funcionalidade das funções que poderiam ser usadas para restaurá-los. Para criptografia, é utilizado o código do gerenciador de senhas KeePass e, para agilizar o processo, a função QueueUserWorkItem. O código do KeePass é usado para gerar chaves de criptografia pseudo-aleatórias. Isso é feito para complicar o desenvolvimento de uma ferramenta para descriptografar dados. O uso da hospedagem da Microsoft para hospedar o servidor de controle de malware destaca o desejo dos invasores de ocultar sua infraestrutura em serviços legítimos para evitar a detecção. Especialistas observam que uma enorme quantidade de malware está atualmente hospedada na nuvem.