Novo Ransomware Mimic abusa de APIs do Windows
Uma nova família de ransomware chamada Mimic surgiu no cenário de ameaças. O ransomware abusa das APIs de uma ferramenta legítima “Everything” para o processo de criptografia. O malware faz uso de vários threads de processador e APIs do Everything para acelerar o processo de criptografia de dados. Vários recursos do ransomware incluem a coleta de informações do sistema, ignorando o Controle de Conta do Usuário (UAC), desabilitando o Windows Defender e a telemetria do Windows e inibindo a Recuperação do Sistema, entre outros. Os ataques começam com a vítima recebendo um executável por e-mail, que extrai quatro arquivos no sistema de destino. Os arquivos incluem a carga útil principal, arquivos auxiliares e ferramentas para desabilitar o Windows Defender. Durante o processo de infecção o Mimic localiza arquivos válidos para criptografia, evitando arquivos do sistema que tornariam o sistema não inicializável se bloqueado. Os arquivos criptografados pelo Mimic são anexados com a extensão .QUIETPLACE.
fonte: BoletimSec
Publicado em: Cybersegurança