A Avast, fornecedora global em produtos de segurança digital, colaborou com o Centro de Combate ao Cybercrime (C3N) da Gendarmerie, a polícia francesa, a qual derrubou um worm malicioso, conhecido como Retadup, que infectou centenas de milhares de máquinas Windows na América Latina. Até o momento, a colaboração neutralizou 850 mil infecções únicas.
Este worm distribui um minerador maligno de criptomoedas e, em casos isolados, distribui um ransomware chamado Stop e um roubador de senhas intitulado Arkei nos computadores das vítimas. A cooperação também conseguiu substituir o servidor de comando e controle maligno (C&C) por um servidor de desinfecção que causou a autodestruição das partes conectadas do malware.
Durante a análise, a equipe de Inteligência de Ameaças da Avast descobriu que o Retadup se espalhava principalmente por download de arquivos LNK maliciosos em drives conectados, na esperança de que as pessoas compartilhem os arquivos malignos com outros usuários.
O arquivo LNK é criado com o mesmo nome de uma pasta já existente, nomeado como “Copiar fpl.lnk” anexado a ele. Dessa forma, tenta induzir os usuários a pensar que estão abrindo seus próprios arquivos, quando na realidade estão se infectando com o malware. Quando executado em um computador, o arquivo LNK executa o script malicioso do Retadup.
Cooperação internacional contra o cibercrime
Enquanto analisavam o Retadup, a equipe de Inteligência de Ameaças da Avast identificou uma falha de design no protocolo C&C, que permitiria a remoção do malware dos computadores das vítimas e o controle do servidor C&C. A infraestrutura C&C do Retadup estava localizada principalmente na França.
Então, a equipe entrou em contato com o C3N no final de março para compartilhar suas descobertas. Em 2 de julho de 2019, o órgão francês substituiu o servidor C&C mal-intencionado por um servidor de desinfecção preparado, que fazia com que as instâncias conectadas do Retadup se autodestruíssem.
No primeiro segundo de atividade, vários milhares de bots foram conectados a ele, buscando os comandos do servidor. O servidor de desinfecção respondeu a eles e desinfectou-os, abusando da falha de design do protocolo C&C. Isso possibilitou o fim do Retadup e a proteção não apenas dos usuários da Avast, mas de todos, sem necessidade de ação das vítimas.
Algumas partes da infraestrutura C&C também estavam localizadas nos EUA. A Gendarmerie alertou o FBI que os retirou e, em 8 de julho de 2019, os autores do malware não tinham mais controle sobre os bots de malware. Como era função do servidor C&C fornecer trabalhos de mineração para os bots, nenhum deles recebeu nenhuma nova tarefa para executar após essa remoção. O ataque havia acabado.