TerraWiper

TerraWiper é um wiper malware atribuído ao grupo cibercriminoso Golden Chickens. Golden Chickens (GK) oferece um portfólio expandido de ferramentas de malware altamente especializadas para outros atores de ameaças de nível médio a alto, como Malware-as-a-Service (MaaS). TerraWiper, em particular, tenta tornar o computador alvo não inicializável adulterando seu Master Boot Record (MRB).

Alguns dos fatores que levaram os especialistas da QuoIntelligence a conectar o TerraWiper ao Golden Chickens é que ele foi escrito em PureBasic, contém o mesmo bug em sua ofuscação de string que outras ferramentas de malware GK, ofuscação de string XOR e outras. O objetivo do TerraWiper é executar a si mesmo com privilégios elevados, permitindo-lhe abrir a unidade física e escrever nada além de zeros sobre ela. Para fazer isso, TerraWiper emprega uma técnica para contornar o controle de acesso do usuário escrevendo seu executável no Software\Classes\mscfile\shell\open\command Registry e usando % SYSTEMROOT%\System32\eventvwr.exe para iniciá-lo.

Devido ao seu escopo e funcionalidade limitados, as vítimas do TerraWiper podem desfazer o dano facilmente consertando o MRB afetado, o que permitirá que o computador se torne inicializável novamente.

Ficar de olho no comportamento e no arsenal de ferramentas de ataque de malwars como o Golden Chickens, pode ajudar as empresas a preparar suas próprias técnicas e protocolos de defesa cibernética.