menu

Contact Us

1 (800) 723-1166 |

Security Labs

HomeSecurity LabsDISTRIBUIDOR DO LOCKY USA RECÉM-LANÇADO QUANT LOADER EM FÓRUNS DO UNDERGROUND RUSSO
HomeSecurity LabsDISTRIBUIDOR DO LOCKY USA RECÉM-LANÇADO QUANT LOADER EM FÓRUNS DO UNDERGROUND RUSSO

DISTRIBUIDOR DO LOCKY USA RECÉM-LANÇADO QUANT LOADER EM FÓRUNS DO UNDERGROUND RUSSO

Há apenas alguns dias, pesquisadores da Forcepoint descobriram um novo downloader intermediário, o “Quant Loader”, que está sendo usado para distribuir malware das famílias do cripto-ransomware Locky Zepto e Pony (aka Fareit). Este novo downloader utiliza um Trojan downloader existente, lançado há apenas duas semanas, que está atualmente sendo divulgado em fóruns russos do underground.

Mascarados como notificações de faturas, os emails carregam Windows Script File (WSF) maliciosos anexados. Quando executado, o arquivo faz o download de um script codificado que é então decodificado e executado.

 

Carl Leonard, principal analista de segurança da Forcepoint, disse: “À primeira vista, o payload era desconhecido e acrescentava uma etapa adicional à cadeia de infecção. Através da análise, identificamos este downloader intermediário como o ‘Quant Loader’ e o rastreamos de volta ao autor conhecido como “MrRaix”, aka “DamRaiX”, um membro da equipe russa de hackers conhecida como “C++ GURU”, aka “CPPGURU”.

Uma cuidadosa investigação mostrou que o código base é muito semelhante a outras ferramentas que a equipe criou - sistemas para roubar credenciais, roubar carteiras BitCoin e um sistema DDoS chamado Madness DDoS System. Na realidade, parece que o Quant Loader é um Trojan downloader muito básico e não o “carregador exe profissional/ dll isca” que está sendo anunciado”.

Clientes da Forcepoint estão protegidos via TRITON ACE. A Forcepoint acredita que esta campanha seja apenas um período de testes para medir a efetividade do novo downloader intermediário, assim espera que o malware seja aprimorado no futuro e recomenda vigilância dos usuários.

Para saber mais sobre esta descoberta, visite o blog da Forcepoint: https://blogs.forcepoint.com/security-labs/locky-distributor-uses-newly-released-quant-loader-sold-russian-underground

Sobre a Forcepoint

O portfólio de produtos da Forcepoint protege usuários, dados e redes contra os adversários mais determinados, desde ameaças internas acidentais ou mal-intencionadas até ameaças externas, durante todo o ciclo de vida da ameaça. A Forcepoint protege dados em todos os locais – na nuvem, no percurso, no escritório – simplificando a conformidade, possibilitando um melhor processo para a tomada de decisões e uma segurança muito mais eficiente. A Forcepoint capacita organizações na concentração do que é mais importante para elas enquanto automatiza tarefas rotineiras de segurança. Mais de 20.000 organizações pelo mundo confiam na Forcepoint. Com sede em Austin, no Texas (EUA), com vendas, serviços, laboratórios de segurança e desenvolvimento de produtos no mundo inteiro, a Forcepoint é uma joint venture da Raytheon Company e Vista Equity Partners. Para saber mais sobre a Forcepoint, visite www.Forcepoint.com e acompanhe a empresa no Twitter em @ForcepointSec.