Ransomware Dharma instala software como distração para ocultar atividades maliciosas

Com informações do especialista em segurança Luciano Augusto, autor no site: https://melhorantiviruspago.com.br/.

O ransomware Dharma está usando uma nova técnica que instala um software de segurança legitimo como uma distração para ajudar a ocultar atividades maliciosas, o novo modelo de ataque foi descoberto pelos especialistas da Trend Micro, que também alertaram que o golpe está sendo distribuído via e-mail, através de uma mensagem de alerta que informa o usuário sobre a possibilidade de comprometimento do Windows e o pressiona para que faça o download de uma ferramenta para verificação.

No entanto ao clicar no link de download, fornecido no e-mail, começa a ser baixado um arquivo executável chamado Defender.exe, uma versão antiga do ESET AV Remover (ferramenta legitima de segurança da ESET que limpa o sistema de instalações anteriores de softwares de segurança para que o mesmo possa rodar sem problemas).

Mas o ransomware usa esse antigo software do ESET AV Remover, renomeado como Defender_nt32_enu.exe, apenas para desviar a atenção do usuário, isso porque enquanto o usuário visualiza a GUI do ESET na tela, os arquivos do PC estão sendo criptografados no dispositivo em segundo plano.

Após o processo de download ser concluído, o uso do computador é bloqueado e o usuário passa a ver apenas uma mensagem informando sobre o “sequestro de seus arquivos”, a mensagem também pede um contato por e-mail, onde a vítima deve informar um código, para que seja passado o valor do resgate em Bitcoins. Os criminosos cibernéticos ainda afirmam que o preço será menor quanto mais cedo for realizado o contato, eles também orientam o usuário para que não tente tomar outras medidas para resolver a questão, e afirmam que podem enviar um arquivo para verificação de que a liberação de todos os outros será efetivamente feita.

Ressaltamos que não é recomendado que seja realizado o pagamento do resgate, em hipótese alguma, pois não existe nenhuma garantia de que os arquivos serão efetivamente liberados. Sendo assim no caso de uma execução equivocada do malware, o ideal é procurar por profissionais especializados para possível liberação dos dados, ou executar uma formatação, mas sabendo que essa ação pode gerar um grande risco de perda permanente de todos os arquivos.

Por isso aconselhamos que os usuários também comecem a adotar soluções de segurança mais fortes e inteligentes para proteger seu equipamento, além do mais, não recomendamos abrir arquivos executáveis recebidos por e-mail e mensageiros instantâneos, mesmo que elas tenham sido enviadas de serviços reconhecidos ou contatos.

A Trend Micro destacou que relatou a ESET sobre essa pesquisa antes de publicá-la, e que a ESET confirmou o uso do ESET AV Remover oficial e não modificado nesta modalidade de Ransomware, a empresa ainda justificou que qualquer outro software poderia ser usado dessa maneira. A  ESET ainda explicou que o ransomware é executado logo após o aplicativo removedor, mas o removedor tem um diálogo e aguarda a interação do usuário, portanto não há nenhuma chance de remover qualquer solução AV antes que o ransomware seja totalmente executado.

Aparentemente o golpe não parece ter atuação direcionada, ou seja, ele está sendo disseminado aleatoriamente por e-mail, sem nenhum foco específico, como sistemas empresariais ou sensíveis.

Fonte: Trend Micro