Introdução à Nova Campanha de Ransomware e RAT
Pesquisadores do FortiGuard Labs, da empresa Fortinet, identificaram uma campanha de ransomware avançada que combina técnicas de phishing e o trojan de acesso remoto Amnesia RAT. Essa ameaça, direcionada principalmente a usuários na Rússia, utiliza táticas sofisticadas de engenharia social para enganar vítimas. Os cibercriminosos disfarçam arquivos maliciosos como documentos benignos, explorando a confiança dos usuários.
Métodos de Distribuição e Resiliência
A campanha de ransomware se destaca pelo uso de serviços públicos de nuvem para distribuir payloads maliciosos. O GitHub é empregado para hospedar scripts, enquanto o Dropbox entrega arquivos binários. Essa estratégia multiplica as frentes de ataque, tornando o combate mais complexo. Além disso, a resiliência dos malwares aumenta, pois os cibercriminosos diversificam os canais de infecção.
Outro ponto crítico é o abuso de ferramentas legítimas, como o defendnot, para desabilitar o Microsoft Defender. Essa ferramenta, criada pelo pesquisador es3n1n, engana o antivírus padrão do Windows, fazendo-o acreditar que outro software de segurança está instalado. Dessa forma, os hackers neutralizam uma camada crucial de defesa.
Técnicas de Infecção e Ocultação
Os cibercriminosos distribuem arquivos compactados contendo documentos falsos e um atalho do Windows (LNK) malicioso. Esses arquivos, com nomes em russo e extensões duplas (como .txt.lnk), simulam documentos inofensivos. Ao serem executados, eles ativam um comando PowerShell que baixa o malware do GitHub. Em seguida, o script oculta a janela do PowerShell e abre um documento de texto, disfarçando a atividade maliciosa.
A comunicação com os atacantes ocorre via API de bot do Telegram, que executa um script em Visual Basic. Essa fase opera na memória, evitando rastros no sistema. O malware verifica privilégios de administrador e, se necessário, solicita permissões ao usuário. Essa abordagem, conhecida como “living-off-the-land”, explora recursos nativos do Windows, dispensando vulnerabilidades de software.
Impacto e Roubo de Dados
Uma vez ativo, o Amnesia RAT coleta uma ampla gama de informações, incluindo:
- Dados de navegadores e carteiras de criptomoeda;
- Informações do Discord, Telegram e Steam;
- Metadados do sistema, capturas de tela e imagens da webcam;
- Áudio do microfone e conteúdo da área de transferência.
Os dados roubados são enviados via Telegram ou serviços como GoFile. Além disso, a campanha de ransomware inclui o Hakuna Matata, que criptografa documentos, fecha programas e exige resgate.
Recomendações de Segurança
Para mitigar riscos, os especialistas recomendam:
- Ativar a Proteção Contra Adulteração (Tamper Protection) do Windows Defender;
- Monitorar chamadas de API suspeitas e alterações no aplicativo de segurança nativo;
- Evitar executar arquivos de fontes desconhecidas, especialmente com extensões duplas.
Em conclusão, essa campanha de ransomware demonstra a evolução das ameaças cibernéticas, que agora exploram recursos legítimos do sistema. A conscientização e a adoção de medidas preventivas são essenciais para proteger dados e sistemas.