Trojan Rakhni: o criptor minerador

Há alguns dias falamos que o ransomware está perdendo espaço para os mineradores no topo dos rankings das ciberameaças. Em sintonia com essa tendência, o Trojan ransomware Rakhni adicionou um módulo de mineração de criptomoedas ao seu arsenal. O interessante é que o loader do malware é capaz de escolher qual componente instalar dependendo do dispositivo. Pesquisadores descobriram como a nova versão funciona e onde mora o perigo.

Soluções flagraram o Rakhni na Rússia, Cazaquistão, Ucrânia, Alemanha e Índia. O malware é distribuído principalmente por meio de correspondências de spam com anexos maliciosos. A amostra estudada por nossos especialistas, por exemplo, foi disfarçada como um documento financeiro. Isso sugere que os cibercriminosos envolvidos estão principalmente interessados em “clientes” corporativos.

Um anexo DOCX em um e-mail de spam possui um documento PDF. Se o usuário permite a edição e tenta abrir o PDF, o sistema solicita permissão para rodar um arquivo executável de um fornecedor desconhecido. Com a permissão do usuário, o Rakhni entra em ação.

Como um ladrão na noite

Quando inicializado, o arquivo PDF malicioso parece ser um visualizador de documentos. Primeiro, o malware mostra uma mensagem de erro para a vítima explicando por qual razão nada abriu. Depois, desabilita o Windows Defender e instala certificados digitais forjados. Apenas quando a barra parece estar limpa decide o destino do dispositivo infectado – criptografar arquivos e pedir resgate ou instalar um minerador.

Por fim, o programa malicioso tenta se espalhar para outros computadores dentro da rede local. Se funcionários de empresas tiverem compartilhado o acesso ao diretório de usuário com os seus dispositivos, o malware copia a si mesmo nesses aparelhos.

Minerar ou criptografar?

O critério de seleção é simples: se o malware encontra uma pasta de serviço chamada Bitcoin no computador da vítima, opta pelo ransomware que encripta arquivos (incluindo documentos Office, PDFs, imagens e backups) e exige um pagamento de resgate dentro de três dias. Os cibercriminosos prometem atenciosamente enviar os detalhes do resgate por e-mail, incluindo seu valor.

Se não existirem pastas relacionadas a Bitcoin no dispositivo, e o malware assume que há energia suficiente para minerar criptomoedas, baixa um minerador que, clandestinamente, gera tokens de Monero, Monero Original ou Dashcoin em segundo plano.

Não seja uma vítima

Para evitar ser infectado pelo Rakhni e que sua empresa sofra os danos, seja muito cauteloso com mensagens recebidas, especialmente aquelas que vêm de endereços de e-mail desconhecidos. Se tiver qualquer dúvida sobre abrir um documento, não o faça. Além disso, preste muita atenção aos avisos do sistema operacional: não execute programas de fornecedores desconhecidos, principalmente se os nomes forem parecidos com os de programas populares.

Na luta contra mineradores e cryptors em redes corporativas, siga essas dicas e matenha-se protegido:

– Treine a sua equipe de segurança de TI e teste regularmente seus conhecimentos.

– Faça backups de dados sensíveis em um dispositivo de armazenamento independente.

– Utilize soluções de segurança confiáveis dotadas de análise comportamental.

– Procure por anomalias em sua rede corporativa regularmente.

Agende sua avaliação gratuita, ligue (54)3204-7777 ou chame no WhatsApp.

Fonte: https://www.kaspersky.com.br/blog/rakhni-miner-cryptor/10552/

Comentários

Menu