O Spora Ransomware Ganha Sofisticação para Evitar Sua Detecção pelos AVs
Quando chegou em janeiro, o Spora Ransomware surpreendeu os pesquisadores de segurança, com sua rotina de criptografia incrivelmente complicada e forte e com a página de pagamento e suporte profissionalmente projetada. A certa altura, Spora estava entre as principais famílias de ransomware, e as transcriçōes de bate-papo entre as vítimas e os criminosos mostraram quantas pessoas ficaram trancadas em seus computadores. Em março, no entanto, sua popularidade começou a diminuir de repente. Embora não tenha desaparecido completamente, as infecções diminuíram a velocidade de rastreamento e alguns dos domínios vinculados à página de suporte dos criminosos pararam de funcionar.
No entanto, os especialistas achavam improvável que a gangue Spora abandonasse seu projeto após o considerável tempo gasto criando o que deve ser uma das famílias de ransomware mais sofisticadas do ano. Na verdade, eles estavam certos.
Pesquisadores da Sophos dizem que o Spora agora está verdadeiramente de volta e bem, e um tweet do Malware Protection Center da Microsoft sugere que esta nova versão está circulando desde a semana passada. Por enquanto, ele é voltado apenas para usuários russos, mas há uma boa chance de ver isso também em outros países, porque os bandidos atualizaram o Spora e esperam claramente torná-lo ainda mais eficaz.
Alguns de vocês devem se lembrar que, durante seu período menos ativo, o Spora foi distribuído com a ajuda da campanha EI Test, que redirecionou os usuários desavisados para um pacote de fontes falso para o Google Chrome ou para uma página de destino usada pelo kit de exploração do RIG. O ransomware agora abandonou esse método de infecção e voltou ao vetor original - um arquivo HTA (aplicativo HTML) colocado dentro de um arquivo ZIP e anexado a um email. Sophos diz que os novos arquivos HTA fingem ser documentos de pagamento e que seus nomes contêm uma string "_pdf", que, especialmente se as extensões de arquivo conhecidas estão ocultas (o comportamento padrão do Windows), pode enganar as vítimas ao clicar nelas. Aqui está a parte preocupante - as soluções de segurança também podem ser enganadas.
Tudo vem das diferenças entre a forma como as referidas soluções de segurança e o Windows processam os arquivos quando o usuário clica neles. O Windows apenas vê a extensão .hta (mesmo que não esteja visível para você) e trata o arquivo como um aplicativo HTML normal (ou seja, ele abre o código HTML sem colocá-lo em uma sandbox). Por outro lado, a maioria dos produtos e scanners de antivírus sabe que as extensões de arquivos podem ser falsificadas, e é por isso que passam pelos primeiros bytes dos arquivos para determinar com o que estão lidando, e é com isso que os Spora trapaceiam.
Depois de colocar os HTAs maliciosos em um editor HEX, como mostra a Figura 1 abaixo, os pesquisadores perceberam que os autores do ransomware haviam modificado os cabeçalhos dos arquivos para parecerem documentos PDF perfeitamente normais. Isso significa que os scanners de arquivos tradicionais não emitem alarmes e o Windows continua com o lançamento do aplicativo que, por sua vez, libera o Spora.
Figura 1. Captura de tela do HTA malicioso do Spora Ransomware em um editor HEX - Fonte: Sophos News
A partir de então, é praticamente a mesma idade, a mesma idade. A publicação no blog da Sophos não diz nada sobre o algoritmo de criptografia da versão mais recente do Spora, mas considerando o fato de que era bastante forte quando o ransomware apareceu pela primeira vez, é seguro assumir que ele provavelmente permaneceu inalterado. Os recursos semelhantes a worms ainda estão aqui também.
Ao terminar de criptografar os arquivos, o Spora oculta a pasta Arquivos de Programas e a substitui por um arquivo LNK (um atalho do Windows) que, além de abrir a pasta real, também executa o ransomware. Se o usuário clicar no atalho de outro terminal na rede, seu sistema também será infectado.
Embora ele tenha um design elegante, uma infinidade de recursos e um algoritmo de criptografia profissionalmente escrito, Spora até agora não conseguiu alcançar o sucesso de Locky, Cerber e o muito mais cruel WannaCry. Essa nova versão mostra, no entanto, que os criminosos ainda não desistiram e estão procurando maneiras de tornar seu ransomware mais difícil de detectar e remover, o que é algo que os usuários comuns devem ter em mente.