Pesquisadores de segurança cibernética da Cybereason descobriram que uma das variantes mais recentes do notório ransomware DJVU, apelidado Xaro, está utilizando software crackeado como vetor de distribuição. Vale ressaltar que este não é o primeiro caso de DJVU também conhecido como PARE o Ransomware usando software crackeado entregar-se às vítimas.
O ransomware Xaro tira vantagem de vítimas inocentes, disfarçando-se em arquivos aparentemente inofensivos provenientes de plataformas duvidosas, disfarçadas de provedores legítimos de freeware.. A tática enganosa envolve se passar por um site que oferece freeware, atraindo os usuários para baixar o que parece ser um instalador benigno para CutePDF, um software popular de gravação de PDF.
PrivateLoader usado na campanha
Ao abrir o arquivo, o suposto instalador CutePDF aciona a ativação do PrivateLoader, um serviço de download de malware pago por instalação. PrivateLoader estabelece uma conexão com um servidor de comando e controle, iniciando o download de uma variedade de famílias de malware, incluindo ladrões de informações notórios como Ladrão RedLine e Vidar, bem como carregadores potentes como SmokeLoader e Nymaim.
Uma característica distintiva deste ataque é a sua “abordagem de espingarda,” em que várias cepas de malware são implantadas simultaneamente. Essa tática estratégica garante o sucesso do ataque, mesmo se uma carga útil for detectada e bloqueada por medidas de segurança convencionais. A diversificada gama de famílias de malware, cada um com capacidades únicas, ressalta a complexidade do cenário de ameaças.
Fiel à sua natureza de ransomware, Xaro não apenas criptografa arquivos no host infectado, mas também implanta uma instância do infostealer Vidar. Esta abordagem de dupla ameaça visa maximizar o impacto nos sistemas visados, combinando criptografia de arquivos para fins de extorsão com roubo de informações para potencial extorsão dupla cenários.
Ao criptografar arquivos, Xaro emite uma nota de resgate, exigindo o pagamento de $980 para a chave privada e ferramenta de decodificação. Notavelmente, este valor do resgate é reduzido pela metade para $490 se a vítima entrar em contato com o autor da ameaça dentro 72 horas, adicionando um senso de urgência à tentativa de extorsão.
Os riscos do freeware de fontes não confiáveis
Esta cadeia de ataques serve como um lembrete claro dos riscos associados ao download de freeware de fontes não confiáveis. Embora os agentes de ameaças favoreçam cada vez mais o freeware como método secreto de entrega de códigos maliciosos, usuários e empresas devem estar atentos e adotar medidas rigorosas de segurança cibernética para se defenderem contra estratégias de ransomware em evolução.
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga: