Como todos sabemos, o Pokémon Go, que é um jogo de realidade aumentada baseado em localização desenvolvido pela Niantic, agora se tornou o maior e mais louco jogo de todos os tempos. O pesquisador de segurança Michael Gillespie descobriu um novo ransomware que foi apelidado de ransomware ‘Hidden-Tear’ que se faz passar por um aplicativo Pokémon Go para Windows.
Cuidado! Pokémon Go Ransomware instala a conta backdoor do Windows Admin
É inegável que o Pokémon Go, que é um jogo de realidade aumentada baseado em localização e free-to-play desenvolvido pela Niantic para dispositivos iOS e Android, se tornou o maior e mais louco jogo de todos os tempos. Este jogo levou milhões de computadores à frente dos jogadores para lançar um jogo de monstros virtuais ou Pokémon em todo o mundo real.
Esperava-se, no entanto, que os cibercriminosos aproveitassem essa oportunidade para infectar os jogadores e seus dispositivos. Desta vez, os cibercriminosos criaram um ransomware perigoso, com o mesmo nome do jogo, atacando contas do Windows.
Um novo ransomware que foi apelidado de ransomware ‘Hidden-Tear’ que se faz passar por um aplicativo Pokémon Go para Windows. O pesquisador de segurança Michael Gillespie descobriu que existe um aplicativo de malware para Windows que se faz passar pelo Pokémon GO e tem como alvo as vítimas.
O modus operandi é tradicional. Assim que o computador é infectado, o ransomware começa a criptografar todos os arquivos com as seguintes extensões:
“.Txt, .rtf, .doc, .pdf, .mht, .docx, .xls, .xlsx, .ppt, .pptx, .odt, .jpg, .png, .csv, .sql, .mdb,. sln, .php, .asp, .aspx, .html, .xml, .psd, .htm, .gif, .png ”
#HiddenTear #Ransomware mascarado como @PokemonGoApp, triste Pikachu incluído. Nota هام جدا. Txt: https://t.co/UcoHYblx7g pic.twitter.com/xXO8f8nTZs
– Michael Gillespie (@ demonslay335) 12 de agosto de 2016
O malware usa criptografia AES para bloquear os arquivos e, em seguida, uma extensão de arquivo ‘.locked’ nos documentos afetados será adicionada. Assim que o processo de criptografia estiver concluído, o ransomware mostrará uma “mensagem de resgate” um arquivo com este nome “هام جدا” ‘. Txt ‘, exigindo que a vítima envie um e-mail para'[email protected]’para obter instruções para a descriptografia.
Esta é a mensagem de pedido de resgate
“(: Seus arquivos foram criptografados, decodifique o Falaksa Mobilis seguindo este endereço [email protected] e agradeço antecipadamente por sua generosidade ”
Parecendo ter um comportamento “normal” para este tipo de ataque, como se fosse um ransomware comum então simplesmente criptografa arquivos e pede dinheiro para descriptografar. No entanto, isso traz algo mais na manga.
No processo de infecção da máquina, o malware cria para si uma conta de administrador backdoor no Windows, com o nome “Hack3r” e assim o operador do malware sempre terá acesso ao computador da vítima. O trabalho vai ainda mais longe, pois todos os vestígios do relato da criação ficam ocultos no registro do Windows.
O ransomware Pokémon GO tentará ir para outras máquinas para a infecção e se espalhar, copiando o executável do ransomware para todas as unidades removíveis. Um arquivo “autorun.inf” será criado, para garantir que o ransomware será ativado o tempo todo sempre que a unidade contaminada for conectada a um computador.
“[AutoRun]
OPEN = PokemonGo.exe
ICON = PokemonGo.exe ”
Por fim, ele também configurará uma cópia do ransomware em outras unidades fixas do computador, que configurará outro arquivo de execução automática para iniciá-lo sempre que o computador for inicializado.
Apesar desses recursos, o ransomware ainda está em fase de desenvolvimento. Por outro lado, o malware usa uma chave AES estática “123vivalalgerie” e seu servidor usa um endereço IP que se destina a uso privado, o que torna impossível o acesso pela Internet.
“String privada TargetURL =“ http://10.25.0.169/PokemonGo/write.php?info= ”;”
Como dissemos anteriormente, a técnica ainda está em estágios iniciais e pode rapidamente encorajar outros hackers a reprogramar e aumentar a capacidade de danos desse novo tipo de ransomware.
0 Comments