Os criadores de ransomware encontram-se sempre a tentar descobrir novas formas de infetarem os sistemas dos utilizadores, e sobretudo de realizarem este processo sem serem detetados.
E recentemente, os responsáveis pelo ransomware AvosLocker começaram a aplicar uma técnica algo engenhosa para tal. Invés de o ransomware tentar levar a cabo as suas atividades em ambiente regular do Windows, onde pode existir software de segurança que intercete o mesmo, o malware usa invés disso o Modo de Segurança do sistema.
De acordo com a empresa de segurança SophosLabs, o malware foi recentemente atualizado para que, quando instalado num sistema Windows, comece por reiniciar o sistema para o Modo de Segurança do mesmo. O motivo?
A maioria dos softwares de segurança estão completamente desativados no Modo de Segurança, o que permite assim que o ransomware atue praticamente sem problemas.
Na verdade, o grupo responsável pelo ransomware pensou até nas situações onde o sistema não permita executar o malware. Quando reinicia em modo de segurança, o malware procede com a execução de um conjunto de scripts que, efetivamente, iniciam a encriptação dos ficheiros. Mas caso seja verificado que este script não foi executado, o malware pode ativar uma sessão do programa AnyDesk, dando controlo remoto aos atacantes para procederem com a infeção.
De notar que o uso do Modo de Segurança para contornar software de segurança não é algo novo de se ver em ransomware. Na verdade, o REvil, BlackMatter e Snatch também utilizavam uma forma similar de funcionamento em algumas das suas gerações.
Nenhum comentário
Seja o primeiro!