Categorias

Ransomware CryLocker utiliza arquivos PNG para transferir informações de vítimas

Depois de uma botnet que usa o Twitter para se comunicar com seus criadores, a Trend Micro descobriu um ransomware que usa imagens PNG para transferir informações de vítimas.

Segundo o levantamento da empresa de segurança, a ameaça batizada de CryLocker (identificado como RANSOM_MILICRY.A) passou a distribuir ameaças no Imgur, site gratuito para hospedagem de imagens.

Em seu comunicado oficial, a Trend Micro explica que “na rotina de comportamento de um malware, é comum o aproveitamento de sites legítimos para comando e controle (C&C) de sistemas infectados, para assim, evitar a desconfiança de novos alvos. Apesar da maioria dos ransomware enviarem as informações coletadas diretamente para os servidores específicos de C&C, existem algumas variantes que trabalham de forma diferente”.

Mas o CryLocker foi o primeiro caso em que a equipe de Pesquisa em Ameaças Futuras (FTR) da Trend Micro descobriu o uso de arquivos PNG (Portable Network Graphics) como transporte para informações coletadas em um sistema infectado. O arquivo PNG também é usado pelo cibercriminoso para monitorar suas vítimas e, após reunir dados do usuário, este ransomware envia os arquivos para um álbum Imgur.

Além de encriptar arquivos de suas vítimas e solicitar o pagamento de um resgate em bitcoins para descriptografar, o CryLocker também coleta as informações do ponto de acesso de WiFi do usuário (Mac, SSID, SS, etc.). Além disso, ele tenta obter a geolocalização ou a localização de navegação do usuário com o Google Maps Geolocation API, assim como também obtém o layout do teclado, por meio do uso da API do Windows GetKeyboardLayoutList.

“Os cibercriminosos geralmente aproveitam brechas de sites e serviços em nuvem legítimos para esconder sua identidade e suas operações”, afirmou a Trend Micro. A recomendação é que serviços de hospedagem de imagem adicionem um passo no processo de upload para verificar se o arquivo de imagem é o que realmente parece ser. Isto significa que, se os arquivos PNG forem malformados, o sistema poderá identificá-los e rejeitá-los automaticamente.

A Trend Micro afirma que já notificou o site Imgur com relação a esta prática inescrupulosa de seus serviços.