Os criadores de malware por trás dos projetos de ransomware Locky e Zepto provaram mais uma vez que estão trabalhando o tempo todo não apenas para infectar mais e mais usuários e permanecer no topo da tabela de ransomware, mas também estão trabalhando no próprio procedimento de infecção para tornar esses ataques ainda mais bem-sucedidos – usando injeção de arquivo .DLL.
Deste jeito, esses cibercriminosos aprimoraram os métodos de infecção porque eles se concentraram em um “gargalo” muito importante - os tipos de arquivos usados para realizar a criptografia e a eliminação da criptografia maliciosa e outros módulos de suporte do ransomware.
Por que o novo método de infecção?
A equipe de hackers por trás Locky e Zepto que permanecem desconhecidos e desejados até agora, usaram métodos de disseminação diferentes, como JavaScript (.JS) arquivos, também conhecido como ransomware “sem arquivo” e também executáveis maliciosos e kits de exploração diretamente anexados em e-mails e URLs maliciosos. Isso resultou em grande sucesso de infecções porque esses arquivos foram bem ofuscados e se espalharam maciçamente.
artigo relacionado: Locky, Dridex Botnet também entregue TeslaCrypt(Mais informações sobre as infecções de spam do Locky)
Contudo, ao contrário dos executáveis usados anteriormente, os hackers por trás do Locky ransomware já fizeram uma alteração criando a possibilidade de executar um arquivo .dll por meio do processo rundll32.exe. Uma vez que a maioria dos produtos antivírus não detecta atividades suspeitas porque eles tendem a definir este processo como legítimo e ignorar a verificação de atividades maliciosas, os sistemas são infectados com Zepto ou Locky, ainda criptografando arquivos de vítimas.
Como funciona uma infecção por DLL?
Para entender como funciona esse processo de infecção, precisamos dissecar o que o processo rundll32.exe executa exatamente.
Originalmente, o rundll32.exe é um aplicativo usado para executar a chamada Biblioteca de Link Dinâmico (DLL) arquivos, porque eles não têm como ser executados diretamente. Esta é uma forma e provavelmente a técnica que Locky ou Zepto podem usar para infectar com sucesso o computador da vítima. Contudo, às vezes, os programas anti-malware detectam atividades suspeitas e é por isso, o vírus usa o chamado processo de ofuscação, fazendo com que o arquivo DLL ignore as últimas definições de antivírus. Esses ofuscadores, também conhecidos como criptografadores de arquivos, são muito caros e sua capacidade de permanecer despercebidos desaparece extremamente rápido, porque a maioria dos programas antivírus são atualizados com muita frequência.
Locky e Zepto continuam suas campanhas com ainda mais vigor
Os ransomware Locky e Zepto são um dos maiores nomes do mundo do ransomware. O uso desses vírus sugere que a equipe por trás deles gastou muito tempo para mantê-los vivos e também tem muita experiência neste campo. Um indicador para isso é que os vírus ainda estão infectando usuários e a maioria dos vírus ransomware geralmente encerram seu ciclo de vida após breves períodos de tempo. Contudo, os métodos de infecção em constante mudança (JavaScript, Executáveis Maliciosos, Força bruta remota) sugerem que Locky e Zepto estão aqui para ficar e continuar ganhando dinheiro às custas dos usuários.
Ventsislav Krastev
Ventsislav é especialista em segurança cibernética na SensorsTechForum desde 2015. Ele tem pesquisado, cobertura, ajudando vítimas com as mais recentes infecções por malware, além de testar e revisar software e os mais recentes desenvolvimentos tecnológicos. Formado marketing bem, Ventsislav também é apaixonado por aprender novas mudanças e inovações em segurança cibernética que se tornam revolucionárias. Depois de estudar o gerenciamento da cadeia de valor, Administração de rede e administração de computadores de aplicativos do sistema, ele encontrou sua verdadeira vocação no setor de segurança cibernética e acredita firmemente na educação de todos os usuários quanto à segurança e proteção on-line.
mais Posts - Local na rede Internet
Me siga: