Pesquisadores de segurança cibernética da Cybereason descobriram que uma das variantes mais recentes do notório ransomware DJVU, apelidado Xaro, está utilizando software crackeado como vetor de distribuição. Vale ressaltar que este não é o primeiro caso de DJVU também conhecido como PARE o Ransomware usando software crackeado entregar-se às vítimas.
O ransomware Xaro tira vantagem de vítimas inocentes, disfarçando-se em arquivos aparentemente inofensivos provenientes de plataformas duvidosas, disfarçadas de provedores legítimos de freeware.. A tática enganosa envolve se passar por um site que oferece freeware, atraindo os usuários para baixar o que parece ser um instalador benigno para CutePDF, um software popular de gravação de PDF.
PrivateLoader usado na campanha
Ao abrir o arquivo, o suposto instalador CutePDF aciona a ativação do PrivateLoader, um serviço de download de malware pago por instalação. PrivateLoader estabelece uma conexão com um servidor de comando e controle, iniciando o download de uma variedade de famílias de malware, incluindo ladrões de informações notórios como Ladrão RedLine e Vidar, bem como carregadores potentes como SmokeLoader e Nymaim.
Uma característica distintiva deste ataque é a sua “abordagem de espingarda,” em que várias cepas de malware são implantadas simultaneamente. Essa tática estratégica garante o sucesso do ataque, mesmo se uma carga útil for detectada e bloqueada por medidas de segurança convencionais. A diversificada gama de famílias de malware, cada um com capacidades únicas, ressalta a complexidade do cenário de ameaças.
Fiel à sua natureza de ransomware, Xaro não apenas criptografa arquivos no host infectado, mas também implanta uma instância do infostealer Vidar. Esta abordagem de dupla ameaça visa maximizar o impacto nos sistemas visados, combinando criptografia de arquivos para fins de extorsão com roubo de informações para potencial extorsão dupla cenários.
Ao criptografar arquivos, Xaro emite uma nota de resgate, exigindo o pagamento de $980 para a chave privada e ferramenta de decodificação. Notavelmente, este valor do resgate é reduzido pela metade para $490 se a vítima entrar em contato com o autor da ameaça dentro 72 horas, adicionando um senso de urgência à tentativa de extorsão.
Os riscos do freeware de fontes não confiáveis
Esta cadeia de ataques serve como um lembrete claro dos riscos associados ao download de freeware de fontes não confiáveis. Embora os agentes de ameaças favoreçam cada vez mais o freeware como método secreto de entrega de códigos maliciosos, usuários e empresas devem estar atentos e adotar medidas rigorosas de segurança cibernética para se defenderem contra estratégias de ransomware em evolução.