*E-mails de phishing entregam ransomware MirCop assustador com tema zumbi
Uma nova campanha de phishing fingindo ser listas de suprimentos infecta os usuários com o ransomware MirCop, que criptografa um sistema alvo em menos de quinze minutos.
Os atores começam o ataque enviando um e-mail não solicitado para a vítima, supostamente seguindo um acordo anterior sobre uma ordem.
O corpo do e-mail contém um hiperlink para uma URL do Google Drive, que, se clicado, baixa um arquivo MHT (arquivo de página da web) na máquina da vítima.
O Google Drive serve para introduzir legitimidade ao e-mail e se alinha muito bem com as práticas comerciais cotidianas comuns.
Para os agentes de ameaças, escolhas simples, mas importantes, como essa podem distinguir entre a vítima clicar no URL ou enviar o e-mail para a pasta de spam.
Quem abre o arquivo só consegue ver uma imagem borrada do que supostamente é uma lista de fornecedores, carimbada e assinada para dar um toque extra de legitimidade.
Quando o arquivo MHT for aberto, ele baixará um arquivo RAR contendo um downloader de malware .NET de “hXXps: // a [.] Pomf [.] Cat / gectpe.rar”.
O arquivo RAR contém um arquivo EXE, que usa scripts VBS para soltar e executar a carga MirCop no sistema infectado.
O ransomware é ativado imediatamente e começa a fazer capturas de tela, bloqueia arquivos, muda o plano de fundo para uma imagem com tema de zumbi horrível e oferece às vítimas instruções sobre o que fazer a seguir.
Segundo a Cofense , todo esse processo leva menos de 15 minutos a partir do momento em que a vítima abre o e-mail de phishing.
Depois disso, o usuário só tem permissão para abrir navegadores específicos para se comunicar com os atores e acertar o pagamento do resgate.
Os atores não estão interessados em entrar furtivamente na máquina da vítima ou permanecer lá por muito tempo para realizar espionagem cibernética ou roubar arquivos para extorsão.
Pelo contrário, o ataque se desenrola rapidamente e a fonte do problema torna-se rapidamente evidente para a vítima
Uma cepa velha, mas ainda perigosa
MicroCop é uma cepa de ransomware antigo que costumava fazer exigências absurdas de resgate para suas vítimas.
Isso foi até que Michael Gillespie quebrou sua criptografia e lançou um descriptografador funcional de graça .
Não foi possível testar se aquele descriptografador antigo funciona com as cargas descartadas na campanha mais recente, mas é possível que ele ainda desbloqueie os arquivos.
A
Cofense diz que a mesma variante está em circulação desde junho deste
ano, então o MicroCop ainda está por aí, e as pessoas precisam ser
cautelosas ao lidar com e-mails não solicitados.
Achou esse artigo interessante? Siga canalfsociety em Instagram, Facebook, Telegram, Twitter, App Boletim Tec e App Mr Robot Sticker para ler mais conteúdo exclusivo que postamos.
Postar um comentário