Novo ransomware finge ser um aplicativo de rastreamento COVID-19

O novo ransomware chamado CryCryptor tem como alvo os usuários do Android no Canadá sob a premissa de ser um aplicativo oficial de rastreamento COVID-19 – de acordo com pesquisa publicada pela ESET.

O ransomware, distribuído por dois sites fraudulentos apoiados pelo governo, criptografa dados pessoais dos dispositivos das vítimas. Os pesquisadores da ESET analisaram o ransomware e desenvolveram uma ferramenta de descriptografia para as vítimas. A empresa de segurança cibernética também informou o Centro Canadense de Segurança Cibernética após a descoberta e identificação do ransomware.

De acordo com a ESET, os sites fraudulentos alegados como uma iniciativa da Health Canada para ajudar no rastreamento de contatos depois que um paciente foi declarado positivo para COVID-19. Curiosamente, os sites apareceram alguns dias após um anúncio oficial do governo canadense para apoiar o desenvolvimento de um aplicativo de rastreamento de contatos em todo o país chamado COVID Alert.

O aplicativo está programado para ser lançado em testes em Ontário e não foi lançado oficialmente. Os golpistas aproveitaram o anúncio das autoridades canadenses para atrair as vítimas a acreditarem na autenticidade do site.

Os hackers trabalham para criptografar os arquivos no dispositivo da vítima e, em vez de bloqueá-lo, deixam um arquivo “leia-me” com o email do invasor em todos os diretórios com arquivos criptografados, informou a ESET. Os arquivos são criptografados usando o AES com uma chave de 16 dígitos gerada aleatoriamente. Depois que o CryCryptor criptografa um arquivo, ele remove o arquivo original e o substitui por três novos arquivos. Isso exibe uma notificação “Arquivos pessoais criptografados, consulte readme_now.txt”.

Novo ransomware atrai vítimas fingindo ser um aplicativo de rastreamento COVID-19
Novo ransomware atrai vítimas fingindo ser um aplicativo de rastreamento COVID-19.

Ransonware de código aberto

A rede de ransomware chamou a atenção dos pesquisadores da ESET quando um tweet que identificava um ‘malware’ no site supostamente oficial foi lançado por um usuário. A empresa de segurança cibernética analisou o aplicativo e descobriu um “erro do tipo ‘Exportação imprópria de componentes Android’ que o MITRE rotula como CWE-926 ” , disse o anúncio oficial. Esse bug permitiu que os pesquisadores da ESET desenvolvessem um aplicativo que iniciasse a funcionalidade de descriptografia incorporada ao aplicativo de ransomware por seus criadores.

O ransomware CryCryptor é baseado em um código de código aberto disponível no GitHub. Os pesquisadores da ESET declararam que os desenvolvedores do ransomware de código aberto, que o chamaram de CryDroid, estavam cientes de que ele era usado para fins maliciosos e tentaram falsamente disfarçá-lo como um projeto de pesquisa.

“Rejeitamos a alegação de que o projeto tem objetivos de pesquisa – nenhum pesquisador responsável publicaria uma ferramenta fácil de usar indevidamente para fins maliciosos”, afirmou o anúncio. “Notificamos o GitHub sobre a natureza desse código”, acrescentou.

Traduzido e adaptado e: coinjournal.net

Compartilhe este post

Share on facebook
Facebook
Share on twitter
Twitter
Share on linkedin
LinkedIn
Share on whatsapp
WhatsApp

Deixe um comentário