Hackers Estão Usando Atualização Falsa do Windows 10 Para Instalar Ransomware Cyborg

Usuários do Windows, cuidado! Um e-mail falso alegando ser da Microsoft sobre uma atualização do Windows está sendo usado para infectar dispositivos com ransomware.

Pesquisadores de segurança do SpiderLabs da Trustwave que detectaram a campanha de e-mails maliciosos descobriram que os e-mails falsos estão pressionando as pessoas a instalar uma “atualização crítica” do Windows 10 em seus computadores.

O assunto do e-mail diz “Instale a Última Atualização da Microsoft agora!” ou “Atualização Crítica do Microsoft Windows!” A mensagem no e-mail contém apenas uma única linha que diz: “Por favor, instale a última atualização crítica da Microsoft anexada a este e-mail” e um arquivo anexado.

Curiosamente, o arquivo “atualização” anexado está disfarçado como um arquivo .jpg que não é uma imagem, mas na verdade um downloader executável .NET. Isso, por sua vez, baixou um segundo arquivo executável hospedado no GitHub de propriedade da Microsoft.

“O arquivo bitcoingenerator.exe será baixado de misterbtc2020, uma conta do GitHub que esteve ativa por alguns dias durante nossa investigação, mas agora foi removida”, disse Diana Lopera da Trustwave em um post no blog.

“Está contido sob seu repositório btcgenerator. Assim como o anexo, este é um malware compilado em .NET, o ransomware Cyborg.”

O típico ransomware Cyborg que solicita bitcoin então criptografa todos os arquivos na máquina da vítima, bloqueando seu conteúdo e também renomeando todos os arquivos para uma extensão .777. Além disso, uma nota de resgate intitulada “Cyborg_DECRYPT.txt” é colocada na área de trabalho da vítima pedindo US$500 em bitcoin para desbloquear os arquivos do sistema.

Quando os pesquisadores procuraram o nome do arquivo original do ransomware, eles o obtiveram e o buscaram no VirusTotal. Encontraram três outras amostras e descobriram que um construtor para o ransomware existe online. Além disso, descobriram que o Ransomware Cyborg é promovido através de um vídeo no YouTube que linkava para o construtor que estava hospedado no GitHub.

“A conta do GitHub Cyborg-Ransomware também foi criada recentemente. Ela contém dois repositórios: Cyborg-Builder-Ransomware e Cyborg-Russian-version”, escreveu Lopera.

“O primeiro repositório tem os binários do construtor do ransomware, enquanto o segundo contém um link para a versão russa do construtor hospedada em outro site.”

Lopera explicou por que o ransomware Cyborg é um verdadeiro perigo para empresas e indivíduos, dizendo: “O Ransomware Cyborg pode ser criado e espalhado por qualquer um que consiga o construtor. Ele pode ser enviado como spam usando outros temas e ser anexado de diferentes formas para evadir gateways de e-mail. Os atacantes podem criar esse ransomware para usar uma extensão de arquivo de ransomware conhecida para enganar o usuário infectado sobre a identidade desse ransomware.”

Embora a conta do GitHub associada tenha sido removida desde então, é importante que os usuários do Windows lembrem que a Microsoft nunca envia patches para seus sistemas operacionais por e-mail.

Além disso, recomenda-se que os usuários que receberem e-mails semelhantes os excluam imediatamente. Também é aconselhável não abrir anexos de e-mail ou links de fontes desconhecidas ou não confiáveis.