Cuidado! Pokémon Go Ransomware instala a conta backdoor do Windows Admin


0

Como todos sabemos, o Pokémon Go, que é um jogo de realidade aumentada baseado em localização desenvolvido pela Niantic, agora se tornou o maior e mais louco jogo de todos os tempos. O pesquisador de segurança Michael Gillespie descobriu um novo ransomware que foi apelidado de ransomware ‘Hidden-Tear’ que se faz passar por um aplicativo Pokémon Go para Windows.

Cuidado! Pokémon Go Ransomware instala a conta backdoor do Windows Admin

É inegável que o Pokémon Go, que é um jogo de realidade aumentada baseado em localização e free-to-play desenvolvido pela Niantic para dispositivos iOS e Android, se tornou o maior e mais louco jogo de todos os tempos. Este jogo levou milhões de computadores à frente dos jogadores para lançar um jogo de monstros virtuais ou Pokémon em todo o mundo real.

Esperava-se, no entanto, que os cibercriminosos aproveitassem essa oportunidade para infectar os jogadores e seus dispositivos. Desta vez, os cibercriminosos criaram um ransomware perigoso, com o mesmo nome do jogo, atacando contas do Windows.

Um novo ransomware que foi apelidado de ransomware ‘Hidden-Tear’ que se faz passar por um aplicativo Pokémon Go para Windows. O pesquisador de segurança Michael Gillespie descobriu que existe um aplicativo de malware para Windows que se faz passar pelo Pokémon GO e tem como alvo as vítimas.

O modus operandi é tradicional. Assim que o computador é infectado, o ransomware começa a criptografar todos os arquivos com as seguintes extensões:

“.Txt, .rtf, .doc, .pdf, .mht, .docx, .xls, .xlsx, .ppt, .pptx, .odt, .jpg, .png, .csv, .sql, .mdb,. sln, .php, .asp, .aspx, .html, .xml, .psd, .htm, .gif, .png ”

O malware usa criptografia AES para bloquear os arquivos e, em seguida, uma extensão de arquivo ‘.locked’ nos documentos afetados será adicionada. Assim que o processo de criptografia estiver concluído, o ransomware mostrará uma “mensagem de resgate” um arquivo com este nome “هام جدا” ‘. Txt ‘, exigindo que a vítima envie um e-mail para'[email protected]’para obter instruções para a descriptografia.

Esta é a mensagem de pedido de resgate

“(: Seus arquivos foram criptografados, decodifique o Falaksa Mobilis seguindo este endereço [email protected] e agradeço antecipadamente por sua generosidade ”

Parecendo ter um comportamento “normal” para este tipo de ataque, como se fosse um ransomware comum então simplesmente criptografa arquivos e pede dinheiro para descriptografar. No entanto, isso traz algo mais na manga.

No processo de infecção da máquina, o malware cria para si uma conta de administrador backdoor no Windows, com o nome “Hack3r” e assim o operador do malware sempre terá acesso ao computador da vítima. O trabalho vai ainda mais longe, pois todos os vestígios do relato da criação ficam ocultos no registro do Windows.

Sistema infectado
Sistema infectado

O ransomware Pokémon GO tentará ir para outras máquinas para a infecção e se espalhar, copiando o executável do ransomware para todas as unidades removíveis. Um arquivo “autorun.inf” será criado, para garantir que o ransomware será ativado o tempo todo sempre que a unidade contaminada for conectada a um computador.

“[AutoRun]

OPEN = PokemonGo.exe
ICON = PokemonGo.exe ”

Por fim, ele também configurará uma cópia do ransomware em outras unidades fixas do computador, que configurará outro arquivo de execução automática para iniciá-lo sempre que o computador for inicializado.

Apesar desses recursos, o ransomware ainda está em fase de desenvolvimento. Por outro lado, o malware usa uma chave AES estática “123vivalalgerie” e seu servidor usa um endereço IP que se destina a uso privado, o que torna impossível o acesso pela Internet.

“String privada TargetURL =“ http://10.25.0.169/PokemonGo/write.php?info= ”;”

Como dissemos anteriormente, a técnica ainda está em estágios iniciais e pode rapidamente encorajar outros hackers a reprogramar e aumentar a capacidade de danos desse novo tipo de ransomware.


Like it? Share with your friends!

0

What's Your Reaction?

hate hate
0
hate
confused confused
0
confused
fail fail
0
fail
fun fun
0
fun
geeky geeky
0
geeky
love love
0
love
lol lol
0
lol
omg omg
0
omg
win win
0
win

0 Comments

Your email address will not be published. Required fields are marked *