O RAA Ransomware Usa o JavaScript para Se Disfarçar e Infectar Computadores e Criptografar Dados

É quase uma norma esperar que os cibercriminosos invoquem novos métodos para infiltrar computadores com malware. Hoje descobrimos o que há de mais recente em ransomware, o RAA Ransomware, que utiliza JavaScript para infectar sistemas. Essa abordagem não é convencional, mas usando JavaScript, o RAA Ransomware pode ser anexado a mensagens de spam disfarçadas de documento do Office que os usuários de computador estão mais propensos a abrir.

A primeira vez que vimos um ransomware utilizar o JavaScript foi com o Ransom32, ou o JS.Crypto, uma ameaça conhecida por seus esforços incansáveis para infectar vários sistemas operacionais. O uso da plataforma JavaScript quando se trata de ransomware abre várias possibilidades, sendo uma delas a capacidade de infectar dispositivos em diferentes plataformas e conceder aos scripts maliciosos da ameaça acesso aos utilitários do sistema.

O RAA Ransomware pode ser uma nova família de ameaças que acabam tendo várias variações, todas armadas com a mesma estrutura JavaScript.

O RAA Ransomware inclui a biblioteca CryptoJS, um kit de ferramentas que adiciona suporte para funções criptográficas no próprio JavaScript. O algoritmo CryptoJS permite a criptografia de arquivos pelo RAA Ransomware, que possui um codificador base64 e capacidade de roubar informações. Essa função permite que os dados nos sistemas infectados com o RAA Ransomware sejam roubados ou coletados e enviados aos autores do RAA Ransomware.

As funções tradicionais do RAA Ransomware estão ativas e bem, apesar de serem totalmente baseadas em JavaScript. Essas funções tradicionais, como a exibição de uma nota de resgate e um endereço de e-mail para contato para configurar o pagamento do resgate, fazem parte da estrutura do RAA Ransomware. O resgate da RAA pede uma taxa de 0,39 Bitcoin, que é de cerca de US $250. A criptografia usada é a familiar codificação AES-256, que é praticamente invencível, a menos que seja fornecida a chave de descriptografia adequada.

A dificuldade de reconhecer o RAA Ransomware faz parte do que o diferencia de outros ransomware. Com a funcionalidade do JavaScript e suas habilidades de ocultação, as vítimas podem ter dificuldade em decifrar o RAA Ransomware entre arquivos de anexo legítimos.

O método de criptografia do RAA Ransomware usa a extensão de arquivo ".locked", aumentando ainda mais a confusão para se identificar a ameaça. Analisando a composição do RAA Ransomware, alguns pesquisadores de segurança de computadores, como os da @MalwareHunterTeam, compararam-na da mesma forma à ameaça do Pony Infostealer. Como essas informações não nos surpreendem, o RAA Ransomware é um novo tipo ou ransomware que possui várias camadas de ações que podem resultar na renúncia de informações sobre o sistema infectado ou no roubo de dados, além da criptografia de arquivos .