RANSOMWARE - PHISHING DE EMAIL ESTAO INSTALANDO RANSOMWARE COM TEMATICA DE ZUMBI - SAMIR NEWS

 

*E-mails de phishing entregam ransomware MirCop assustador com tema zumbi

 

Uma nova campanha de phishing fingindo ser listas de suprimentos infecta os usuários com o ransomware MirCop, que criptografa um sistema alvo em menos de quinze minutos.

Os atores começam o ataque enviando um e-mail não solicitado para a vítima, supostamente seguindo um acordo anterior sobre uma ordem.

O corpo do e-mail contém um hiperlink para uma URL do Google Drive, que, se clicado, baixa um arquivo MHT (arquivo de página da web) na máquina da vítima.

O Google Drive serve para introduzir legitimidade ao e-mail e se alinha muito bem com as práticas comerciais cotidianas comuns.

Para os agentes de ameaças, escolhas simples, mas importantes, como essa podem distinguir entre a vítima clicar no URL ou enviar o e-mail para a pasta de spam.

Quem abre o arquivo só consegue ver uma imagem borrada do que supostamente é uma lista de fornecedores, carimbada e assinada para dar um toque extra de legitimidade.

 

Quando o arquivo MHT for aberto, ele baixará um arquivo RAR contendo um downloader de malware .NET de “hXXps: // a [.] Pomf [.] Cat / gectpe.rar”.

O arquivo RAR contém um arquivo EXE, que usa scripts VBS para soltar e executar a carga MirCop no sistema infectado.

O ransomware é ativado imediatamente e começa a fazer capturas de tela, bloqueia arquivos, muda o plano de fundo para uma imagem com tema de zumbi horrível e oferece às vítimas instruções sobre o que fazer a seguir.

Segundo a  Cofense , todo esse processo leva menos de 15 minutos a partir do momento em que a vítima abre o e-mail de phishing.

Depois disso, o usuário só tem permissão para abrir navegadores específicos para se comunicar com os atores e acertar o pagamento do resgate.

Os atores não estão interessados ​​em entrar furtivamente na máquina da vítima ou permanecer lá por muito tempo para realizar espionagem cibernética ou roubar arquivos para extorsão.

Pelo contrário, o ataque se desenrola rapidamente e a fonte do problema torna-se rapidamente evidente para a vítima

Uma cepa velha, mas ainda perigosa

MicroCop é uma cepa de ransomware antigo que costumava fazer exigências absurdas de resgate para suas vítimas.

Isso foi até que Michael Gillespie quebrou sua criptografia e lançou um descriptografador funcional de graça .

Não foi possível testar se aquele descriptografador antigo funciona com as cargas descartadas na campanha mais recente, mas é possível que ele ainda desbloqueie os arquivos.

A Cofense diz que a mesma variante está em circulação desde junho deste ano, então o MicroCop ainda está por aí, e as pessoas precisam ser cautelosas ao lidar com e-mails não solicitados.

 

Achou esse artigo interessante? Siga canalfsociety em Instagram, Facebook, Telegram, Twitter, App Boletim Tec e App Mr Robot Sticker para ler mais conteúdo exclusivo que postamos.