Ransomware utiliza arquivos PNG para roubar informações de vítimas

Identificado como RANSOM_MILICRY.A, um tipo de ransomware CryLocker está distribuindo ameaças por meio do Imgur, portal gratuito para hospedagem de imagens. A novidade foi verificada pela Trend Micro, empresa especializada na defesa de ameaças digitais e segurança. De acordo com a companhia, mais de 8 mil dados já foram roubados de usuários.

Essa é a primeira vez que a empresa mapeia arquivos PNG como transporte para informações coletadas em um sistema infectado. O arquivo também é utilizado pelo cibercriminoso para monitorar suas vítimas e, após reunir dados do usuário, os envia para um álbum no Imgur. Essa técnica permite que os autores do ataque não sejam detectados e continuem escondidos no sistema. 

A Trend Micro analisou os arquivos PNG importados para o Imgur e as primeiras informações foram criptografadas no dia 25 de agosto. Dez dias depois, a empresa flagrou a ação dos exploit kits – código criado para explorar vulnerabilidades existentes em um programa – Rig e Sundown. Os hackers mudam o papel de parede do computador, colocando a imagem de um bilhete de resgate chamado “CryLocker”.

A companhia detectou que o CryLocker muda a extensão do arquivo criptografado para *.CRY. Curiosamente, antes de deletar os arquivos originais, esse ransomware cria cópias dos arquivos selecionados para que sejam criptografados. Ele também coleta as informações do ponto de acesso de WiFi do usuário (Mac, SSID, SS, etc.). Além disso, tenta obter a geolocalização ou a localização de navegação do usuário com o Google Maps Geolocation API. O CryLocker também obtém o layout do teclado, por meio do uso do windows API, GetKeyboardLayoutList.

Para recuperar os arquivos com ferramentas de recuperação de disco, o tamanho do arquivo, primeiramente, não deve passar de 20MB. Como os cibercriminosos geralmente aproveitam brechas de sites e serviços em nuvem legítimos para esconder sua identidade e suas operações, a Trend Micro recomenda que serviços de hospedagem de imagem adicionem um passo no processo de upload para verificar se o arquivo de imagem é o que realmente parece ser. Isto significa que, se os arquivos PNG forem malformados, o sistema poderá identificá-los e rejeitá-los automaticamente.