TI INSIDE Online -

RSS Feed Compartilhe TI INSIDE Online no Facebook Compartilhe TI INSIDE Online no Twitter Compartilhe TI INSIDE Online no Google+ Compartilhe TI INSIDE Online no Linkedin

Campanha de ransonware se aproveita da vulnerabilidade do Winrar para atacar usuários

Postado em: 22/03/2019, às 17:14 por Redação

Em fevereiro, a ESET, empresa especializada em detecção proativa de ameaças, noticiou a descoberta da vulnerabilidade do WinRAR que afetava todas as versões existentes anteriores a 5.70. Pouco tempo depois, uma campanha de malware aproveitou-se desta vulnerabilidade para infectar os computadores das vítimas que ainda não tinham feito a atualização.

E a história não parou por aí, na semana passada, pesquisadores da 360 Threat Intelligence Center identificaram uma campanha que aproveita desta falha sobre o compactador de arquivos WinRAR para propagar um ransomware.

O WinRAR, lançado em 1995, consegue executar compactação e descompactação de diversos arquivos em inúmeros formatos diferentes. Para que algumas dessas operações com tipos de arquivos específicos sejam feitas, o compactador precisa fazer uma série de ações em ferramentas auxiliares de terceiros, que já vem por padrão na instalação do próprio WinRAR.

Uma dessas ferramentas, que não recebia atualizações de segurança há mais de 19 anos, era a responsável pela manipulação de arquivos ACE que, por meio de uma vulnerabilidade, permitia adicionar um arquivo malicioso em uma pasta crítica do computador da vítima. A descoberta veio à tona após análise e testes por parte da equipe de pesquisadores da Check Point Research.

A ameaça está no RAR

A nova campanha utiliza a vulnerabilidade do WinRAR para propagar um ransomware, ameaça que criptografa os arquivos do computador da vítima e pede um resgate para que a chave que dá acesso aos arquivos seja fornecida.

O conteúdo malicioso parece um arquivo RAR normal à primeira vista, aparenta ter apenas um único arquivo de foto em seu conteúdo, mas, se observarmos atentamente, é possível ver que o arquivo compactado também tem uma referência ao C:

Ao extrair o conteúdo do arquivo compactado, uma pasta com uma imagem que aparenta estar corrompida é exibida. Sem que o usuário saiba, um outro arquivo executável é salvo diretamente na pasta de inicialização do Windows, ou seja, será executado toda vez que o usuário reiniciar o computador.

O ransomware JNEC.A exige o pagamento de 0.05 bitcoins (cerca de US$ 200) e apresenta instruções às vítimas sobre como obter a chave de recuperação de liberação em um arquivo de texto, deixando todos os arquivos criptografados com a extensão .jnec.

O pesquisador de segurança Michael Gillespie também analisou o ransomware e destacou em sua conta no Twitter que, devido a uma falha, nem mesmo o criador da campanha seria capaz de descriptografar os arquivos infectados pela ameaça.

RSS
Facebook
Twitter
LinkedIn

Tags: , , , , ,

0 Comentários

Deixe o seu comentário!

Nome (obrigatório)

E-mail (não será mostrado) (obrigatório)

Website

Mensagem (obrigatório)

Top
Social media & sharing icons powered by UltimatelySocial