A SonicWall, empresa de segurança da informação que protege mais de 1 milhão de redes em todo o mundo, anuncia a mais recente descoberta do SonicWall Capture Labs Research sobre ataques digitais focados no Brasil. O novo ataque utiliza como base de transmissão um e-mail com aparência legítima que traz, anexado, um arquivo que se passa por uma extensão do Chrome. Esse arquivo é, na verdade, um Spyware escondido em um PDF infectado. Ao clicar neste arquivo, o usuário permite que o Spyware seja instalado em seu computador.
O alvo desse ataque é o Brasil.
O que prova isso é o fato de que os dados roubados por este Spyware sejam direcionados a servidores C&C - Command & Control, infraestrutura de TI utilizada por criminosos digitais - a partir do endereço "Brasil". Isso fica claro quando se observa o código telefônico do país de origem dos dados roubados: 55.
Segundo os consultores do SonicWall Capture Labs Research, nenhum antivírus detectou essa nova modalidade de malware. Isso só foi possível graças ao uso da tecnologia RTDMI (Real Time Deep Memory Inspection - inspeção profunda de memória, feita em tempo real), uma solução que identifica e bloqueia ataques do tipo side-channel e ataques que atingem chips e processadores. A inteligência RTDMI está embutida no SonicWall Capture Advanced Threat Protection, o sandbox multimotor da Sonicwall. "Quem usar o SonicWall Capture Advanced Threat Protection conseguirá identificar e bloquear malware como esse novo Spyware", resume Arley Brogiato, country manager da SonicWall Brasil.
O novo Spyware é instalado no sistema da vítima como uma extensão do Google Chrome.
No momento da análise, o arquivo PDF mal-intencionado não é detectado por nenhum dos fornecedores de antivírus. Essa detecção só foi possível graças à eficácia da tecnologia RTDMI (Real-Time Deep Memory Inspection, inspeção profunda de memória, feita em tempo real), inteligência desenvolvida nos laboratórios da SonicWall.
Em seguida, o arquivo PDF malicioso tenta atrair a vítima para fazer o download do arquivo malicioso, com o texto fingindo ser um arquivo de imagem. Para passar despercebido, uma URL encurtada "hxxp: //bit.ly/2XfBhuA" que se expande para "hxxps: //www.dropbox.com/s/dl/5nepym179xr7ehz/Fotos%20L-nn-2002-0711.vbs.zip ", foi usada em um arquivo PDF.
Ao clicar na imagem, um arquivo compactado é baixado no sistema da vítima a partir do dropbox do Google.
O arquivo compactado baixado contém um arquivo de script VBS, que, quando executado, conecta-se a um servidor C&C (hxxp: //desenvolveangar.info /? Tgow = shuran &). Os servidores C&C (Command & Control) são recursos de TI utilizados pelos criminosos digitais para armazenar dados ou disseminar malware.
O servidor C&C criou um mecanismo para identificar se uma solicitação é de um bot ou de um sistema automatizado. Se um padrão específico for encontrado no cabeçalho de solicitação HTTP "USER-AGENT: COOLDOWN" e os dados forem "Z", então somente arquivo malicioso na próxima etapa (codificado para evitar a detecção) será enviado, caso contrário, a solicitação será exibida com um arquivo de imagem.
O script VBS usa vários componentes no sistema das vítimas para atingir seu objetivo.
Para evitar a reinfecção, o script VBS primeiro verifica a presença de um arquivo "125x" no diretório "% UserProfile%". A execução do script é finalizada, se o arquivo estiver presente. Caso contrário, um arquivo com o mesmo nome é criado no diretório "% UserProfile%" e 6 bytes são gravados no arquivo.
O script usa extensivamente o método sleep, o que poderia tornar inúteis as tecnologias tradicionais de sandboxing e emulação. Ele usa a estrutura do Windows Management Instrumentation (WMI) para coletar informações do sistema da vítima.
No momento, parece que o malware foi criado para atingir usuários do Brasil. Isso pode ser deduzido pelo fato de que os dados roubados são enviados de volta ao servidor C&C se a vítima for do "Brasil". O país da vítima é validado com a verificação do código do país ("55" para o Brasil).
Em seguida, um script batch é inserido no sistema de arquivos e executado. Assim, primeiro exclui os atalhos existentes do Google Chrome e então cria atalhos incorretos do Google Chrome para iniciar o script malicioso do VBS.
O script batch diminui a segurança do navegador Web, modificando as configurações da zona do site da Internet. Para remover rastros de infecção do sistema, o script é, depois, excluído.
O malware agora verifica a presença de um arquivo chamado "utg.zip" no diretório "% UserProfile%". Este arquivo contém a extensão do Chrome. Para garantir que a extensão atualizada do Chrome esteja presente no sistema da vítima, ele primeiro exclui e depois baixa o arquivo do servidor C&C.
O malware continua com sua coleta de dados e outras atividades. Ele coleta dados como o fabricante do sistema, o modelo, a legenda e a descrição da configuração do adaptador de rede, que são enviados posteriormente ao C&C Server.
O malware recebe o comando para interromper a execução pelo servidor C&C, se estiver em execução no ambiente virtual. Ele consegue isso enviando a palavra "bit" nos dados de resposta. Caso contrário, uma URL como payload final é enviada de volta para a vítima.
O malware usa um fragmento do código VBS de "hxxp: //pastebin.com/raw/kXaRaqSu" para fazer o download do payload final, que é um arquivo contendo a extensão do Chrome.
O malware verifica a presença do arquivo "% UserProfile% \ Chrome \ 1.9.6 \ 6.js" dentro do arquivo compactado e notifica o servidor C&C se o arquivo for encontrado.
Um arquivo de manifesto baseado em JSON, "manifest.json", que contém metadados sobre a extensão, é modificado pelo malware.
Informações detalhadas da extensão
• Arquivo Manifest.json
Este arquivo de manifesto contém informações de metadados referentes à extensão. Campos importantes deste arquivo de manifesto são descritos abaixo.
JS file hash
Evidências da detecção pela tecnologia RTDMI podem ser vistas no relatório Capture ATP.