Descoberta uma Campanha de phishing do Coronavirus que instala o Ransomware Netwalker

O MalwareHunterTeam informou que foi Descoberta uma Campanha de phishing do Coronavirus que instala o Ransomware Netwalker. Conheça melhor essa ameaça.

O Netwalker é um ransomware anteriormente chamado Mailto que se tornou ativo recentemente, tendo como alvo as empresas e agências governamentais. Dois ataques amplamente relatados relacionados a Netwalker são os do Toll Group e do Champaign Urbana Public Health District (CHUPD), em Illinois.

Descoberta uma Campanha de phishing do Coronavirus que instala o Ransomware Netwalker
Descoberta uma Campanha de phishing do Coronavirus que instala o Ransomware Netwalker

Como se as pessoas não tivessem o suficiente com o que se preocupar, agora os atacantes os estão atacando com emails de phishing de Coronavirus (COVID-19) que instalam ransomware, no caso, o Netwalker.

Descoberta uma Campanha de phishing do Coronavirus que instala o Ransomware Netwalker

Embora não tenhamos acesso ao e-mail de phishing real sendo enviado, o MalwareHunterTeam conseguiu encontrar um anexo usado em uma nova campanha de phishing do Coronavirus que instala o Netwalker Ransomware.

A nova campanha de phishing do Netwalker está usando um anexo chamado “CORONAVIRUS_COVID-19.vbs” que contém um código executável e ofuscado do Netwalker Ransomware incorporado para extrair e iniciá-lo no computador.

Quando o script é executado, o executável será salvo em %Temp%\qeSw.exe e iniciado.

Uma vez executado, o ransomware criptografará os arquivos no computador e anexará uma extensão aleatória aos nomes de arquivos criptografados.

De interesse particular, o chefe do SentinelLabs, Vitali Kremez, disse ao site BleepingComputer que esta versão do ransomware evita especificamente o encerramento do cliente de proteção de terminais Fortinet.

Quando perguntado por que eles fariam isso, Kremez afirmou que pode ser para evitar a detecção.

Kremez disse que:

“Suponho que seja porque eles já desabilitaram a funcionalidade antivírus diretamente do painel de administração do cliente; no entanto, eles não desejam acionar um alarme encerrando os clientes.”

Quando concluídas, as vítimas encontrarão uma nota de resgate denominada [extensão]-Readme.txt que contém instruções sobre como acessar o site de pagamento Tor do ransomware para pagar a demanda de resgate.

Infelizmente, no momento não há uma fraqueza conhecida no ransomware que permita às vítimas descriptografar seus arquivos gratuitamente.

Em vez disso, as vítimas precisarão restaurar do backup ou recriar os arquivos ausentes.

Ataques de coronavírus se tornaram comuns

Devido à pandemia de Coronavírus em andamento, os atores de ameaças começaram ativamente a usar o surto como tema para suas campanhas de phishing e malware.

Vimos o Trojan TrickBot usando o texto das notícias relacionadas ao Coronavirus para evitar a detecção, um ransomware chamado CoronaVirus, o malware FormBook, que rouba dados, se espalhou por campanhas de phishing e até uma campanha de extorsão por e-mail ameaçando infectar sua família com o Coronavirus.

Isso levou a Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) a emitir avisos sobre o aumento de golpes com tema de coronavírus e a Organização Mundial de Saúde (OMS) a lançar avisos de golpes de phishing que se passam por sua organização.

Como os atores de ameaças geralmente se aproveitam de tópicos que espalham ansiedade e medo, todos devem ser mais diligentes do que nunca em relação a emails suspeitos e à promoção de programas de fontes desconhecidas.

O que está sendo falado no blog

Post Views: 263

Sobre o Edivaldo Brito

Edivaldo Brito é analista de sistemas, gestor de TI, blogueiro e também um grande fã de sistemas operacionais, banco de dados, software livre, redes, programação, dispositivos móveis e tudo mais que envolve tecnologia.

Deixe um comentário

Esse site utiliza o Akismet para reduzir spam. Aprenda como seus dados de comentários são processados.