Ransomware se passa por antivírus para infectar vítimas e roubar dados.


Um novo tipo de ransomware foi descoberto pela Trend Micro: chamado de Dharma, ele utiliza instalações do antivírus ESET AV Remover falsas para distrair vítimas enquanto infecta a máquina e criptografa todos os arquivos.
“A vítima acaba pensando que está atualizando seu próprio antivírus, enquanto isso, seus arquivos vão sendo criptografados”. De acordo com o Bleeping Computer, o ransomware é enviado via email para os computadores por meio de uma campanha de spam. Como um phishing, o ransomware fica como anexo. É interessante notar que o email lista uma senha para abrir o arquivo malicioso: a vítima, curiosa com a senha no corpo de email, assim que abre o arquivo acaba liberando a infecção.
A mensagem no e-mail diz o seguinte: “Seu Windows está temporariamente em risco! Nosso sistema detectou vários dados incomuns do seu PC. Está corrompido pelo DISPLAY SYSTEM 37.2%. Todas as suas informações estão em risco, isso pode danificar os arquivos do sistema, dados, aplicativos ou até mesmo causar vazamentos de dados, etc. Atualize e verifique seu antivírus abaixo. Senha: www.microsoft.com”.
É interessante notar o uso do instalador ESET AV Remover enquanto o ransomware age por baixo dos panos. A vítima acaba pensando que está atualizando seu próprio antivírus, enquanto isso, seus arquivos vão sendo criptografados.
A ESET, dona do software AV Remover — que é legítimo —, comentou o seguinte sobre o caso: "O artigo descreve a prática bem conhecida de um malware ser empacotado com aplicativos legítimos. No caso específico que a Trend Micro está documentando, foi utilizado um ESET AV Remover oficial e não modificado. No entanto, qualquer outro aplicativo poderia ser usado dessa maneira. A principal razão é para distrair o usuário; este aplicativo é usado como um aplicativo chamariz. Os engenheiros de detecção de ameaças da ESET viram vários casos de ransomware em pacote de extração automática junto com alguns arquivos limpos ou hack/keygen/crack recentemente. Então isso não é novidade. No caso específico descrito pela Trend Micro, o ransomware é executado logo após o nosso aplicativo removedor, mas o removedor tem um diálogo e aguarda a interação do usuário, portanto não há nenhuma chance de remover qualquer solução AV antes que o ransomware seja totalmente executado".

Via: Tecmundo


0 visualização

Rua José Farias, 48 - Santa Luíza, Vitória-ES, 29045-310.

Certa Informatica Ltda - ME.  CNPJ: 03.624.387/0001-45

Tel.: (27) 3227-0619   | Cel.: (27) 99508-8769 

Segunda a Sexta-Feira, das 08hr30min às 18hrs

 

Newsletter

Siga-nos

  • Facebook
  • Instagram

Certa Tecnologia  @2019    Todos os direitos reservados