Zeppelin Ransomware retorna com novo cavalo de Tróia a bordo

O ransomware Zeppelin voltou à relevância, após um hiato de vários meses.

Uma onda de ataques foi detectada em agosto por pesquisadores da Juniper Threatlab, usando um novo downloader de trojan. Estes, como uma onda inicial do Zeppelin observada no final de 2019, começam com e-mails de phishing com anexos do Microsoft Word (com o tema “faturas”) que têm macros maliciosas a bordo. Depois que um usuário ativa as macros, o processo de infecção é iniciado.

Na campanha mais recente, fragmentos de scripts do Visual Basic estão escondidos entre o texto lixo atrás de várias imagens. As macros maliciosas analisam e extraem esses scripts e os gravam em um arquivo em c: \ wordpress \ about1.vbs.

Uma segunda macro procura a string “winmgmts: Win32_Process” dentro do texto do documento e a usa para executar about1.vbs do disco. About1.vbs é o downloader do trojan mencionado anteriormente, que, em última instância, baixa o ransomware Zeppelin na máquina da vítima.

O binário dorme por 26 segundos “em uma tentativa de superar a análise dinâmica em uma caixa de proteção automatizada e, em seguida, executa o executável do ransomware”, de acordo com a análise lançada recentemente . “Como nas versões anteriores, o executável do Zeppelin verifica as configurações de idioma do computador e geolocalização do endereço IP da vítima potencial para evitar infectar computadores na Rússia, Bielo-Rússia, Cazaquistão e Ucrânia.”

Quanto à atribuição, de acordo com uma pesquisa anterior de Vitali Kremez, o Zeppelin é um código simples distribuído por meio de uma empresa afiliada: o malware é gerado por meio de um assistente de interface de usuário e oferecido aos distribuidores em troca de uma participação nos lucros.

A última campanha afetou cerca de 64 vítimas e alvos conhecidos, observaram os pesquisadores da Juniper, indicando um certo nível de direcionamento. Pode ter começado em 4 de junho, quando o servidor de comando e controle (C2) que o malware usa foi registrado; e os dados de DNS passivos mostram que funcionou até pelo menos 28 de agosto; 28 de agosto é a resolução de nome mais recente para o domínio C2, de acordo com dados DNS passivos.

“[Isso] pode indicar que o malware não infectou novas redes nos últimos dias”, de acordo com o post.

O Zeppelin é uma variante da família ransomware-as-a-service (RaaS) baseada em Delphi, inicialmente conhecida como Vega ou VegaLocker, que surgiu no início de 2019 em anúncios no Yandex.Direct, com base na Rússia – de acordo com o BlackBerry Cylance . Ao contrário de seu antecessor, o Zeppelin é muito mais direcionado e, primeiro, teve como objetivo empresas de tecnologia e saúde na Europa e nos Estados Unidos

Fonte: https://threatpost.com/zeppelin-ransomware-returns-trojan/159092