BlackWater

Por GoldSparrow em Malware

A ameaça BlackWater é considerada um malware de nova geração que pode ser bastante difícil de parar quando está em operação. Os autores do malware BlackWater estão tentando usar o medo da população do surto de coronavírus para propagar essa ameaça desagradável. Não é surpreendente que os cibercriminosos estejam explorando uma tragédia ou uma emergência para espalhar malware ou gerar dinheiro - eles não são conhecidos como pessoas de altos valores e padrões morais.

Propagação

Os criadores do malware BlackWater provavelmente usarão emails de phishing como vetor de infecção. Segundo relatos, os usuários-alvo recebem um e-mail que afirma conter informações importantes sobre o surto do coronavírus. O e-mail falso contém um anexo corrompido chamado 'Importante - COVID-19.rar'. Os usuários são levados a acreditar que receberam um email que contém informações que precisam ser revisadas urgentemente. Esta é uma técnica de engenharia social comumente utilizada. Se os usuários abrirem o arquivo '.rar', eles encontrarão um arquivo que parece nada mais que um documento inofensivo. À primeira vista, o nome do arquivo parece ser 'Importante - COVID-19.docx'. No entanto, o nome completo do arquivo é 'Importante - COVID-19.docx.exe', mas como a Microsoft não mostra extensões de arquivo por padrão, é provável que os usuários não notem que esse não é um documento, mas um arquivo executável. Os criadores do malware BlackWater garantiram que o arquivo usa o ícone do documento do Microsoft Office para que os usuários acreditem que se trata de um documento genuíno.

Como a Ameaça BlackWater Opera

Se o usuário iniciar o arquivo executável que imita um documento, a ameaça plantará um arquivo de documento chamado 'Importante - COVID-19.docx.docx' na pasta%UserProfile%\downloads. Esse é um arquivo de documento real que os usuários podem iniciar e ler via Microsoft Word. O documento alega ser originário do Wessex Learning Trust e parece conter informações e dicas sobre o surto de coronavírus. É provável que as informações no documento mantenham os usuários ocupados enquanto a ameaça BlackWater está plantando um arquivo chamado 'sqltuner.exe' na pasta%UserProfile%\AppData\Local\LibrarySQL\bin\version5.0\. O que é muito inovador sobre o malware BlackWater é que, em vez da ameaça se conectar a um servidor de C&C (Comando e Controel) remoto que os atacantes configuraram antes do ataque, a ameaça utiliza serviços genuínos do Cloudflare Worker, tal como servidor de C&C. De acordo com pesquisadores de segurança cibernética, a razão por trás dessa solução inteligente é que os utilitários anti-malware podem não conseguir bloquear o tráfego IP vinculado à atividade insegura da ameaça BlackWater, a menos que bloqueiem todo o tráfego afiliado à infraestrutura dos serviços do Cloudflare Worker.

Essa nova ameaça pode inspirar outros cibercriminosos que podem modelar as suas criações com base no malware BlackWater, o que provavelmente tornará o trabalho das ferramentas de segurança muito mais desafiadoras. Verifique se você instalou uma solução anti-vírus genuína no seu sistema para minimizar os riscos de ser vítima de uma ameaça como o malware BlackWater.

Tendendo

Mais visto

Carregando...