Brasil é alvo de ataque com spyware disfarçado de extensão Chrome

A SonicWall, empresa de segurança da informação que protege mais de 1 milhão de redes em todo o mundo, anuncia a mais recente descoberta do SonicWall Capture Labs Research sobre ataques digitais focados no Brasil. O novo ataque utiliza como base de transmissão um e-mail com aparência legítima que traz, anexado, um arquivo que se passa por uma extensão do Chrome. Esse arquivo é, na verdade, um spyware escondido em um PDF infectado. Ao clicar neste arquivo, o usuário permite que o Spyware seja instalado em seu computador.  O alvo desse ataque é o Brasil.

O que prova isso é o fato de que os dados roubados por este Spyware sejam direcionados a servidores C&C – Command & Control, infraestrutura de TI utilizada por criminosos digitais – a partir do endereço “Brasil”. Isso fica claro quando se observa o código telefônico do país de origem dos dados roubados: 55.

Segundo os consultores do SonicWall Capture Labs Research, nenhum antivírus detectou essa nova modalidade de malware. Isso só foi possível graças ao uso da tecnologia RTDMI (Real Time Deep Memory Inspection – inspeção profunda de memória, feita em tempo real), uma solução que identifica e bloqueia ataques do tipo side-channel e ataques que atingem chips e processadores. A inteligência RTDMI está embutida no SonicWall Capture Advanced Threat Protection, o sandbox multimotor da Sonicwall. “Quem usar o SonicWall Capture Advanced Threat Protection conseguirá identificar e bloquear malware como esse novo Spyware”, resume Arley Brogiato, country manager da SonicWall Brasil.

O novo Spyware é instalado no sistema da vítima como uma extensão do Google Chrome.

A imagem a seguir descreve o ciclo de infecção:

No momento da análise, o arquivo PDF mal-intencionado não é detectado por nenhum dos fornecedores de antivírus. Essa detecção só foi possível graças à eficácia da tecnologia RTDMI (Real-Time Deep Memory Inspection, inspeção profunda de memória, feita em tempo real), inteligência desenvolvida nos laboratórios da SonicWall.

Em seguida, o arquivo PDF malicioso tenta atrair a vítima para fazer o download do arquivo malicioso, com o texto fingindo ser um arquivo de imagem. Para passar despercebido, uma URL encurtada “hxxp: //bit.ly/2XfBhuA” que se expande para “hxxps: //www.dropbox.com/s/dl/5nepym179xr7ehz/Fotos%20L-nn-2002-0711.vbs.zip “, foi usada no arquivo PDF:

Ao clicar na imagem, um arquivo compactado é baixado no sistema da vítima a partir do dropbox do Google.

O arquivo compactado baixado contém um arquivo de script VBS, que, quando executado, conecta-se a um servidor C&C (hxxp: //desenvolveangar.info /? Tgow = shuran &). Os servidores C&C (Command & Control) são recursos de TI utilizados pelos criminosos digitais para armazenar dados ou disseminar malware. O servidor C&C criou um mecanismo para identificar se uma solicitação é de um bot ou de um sistema automatizado. Se um padrão específico for encontrado no cabeçalho de solicitação HTTP “USER-AGENT: COOLDOWN” e os dados forem “Z”, então somente arquivo malicioso na próxima etapa (codificado para evitar a detecção) será enviado, caso contrário, a solicitação será exibida com um arquivo de imagem, como mostrado abaixo:

O trecho de código abaixo descreve como o script formatado reverso é decodificado e executado:

O script VBS usa vários componentes no sistema das vítimas para atingir seu objetivo.

Para evitar a reinfecção, o script VBS primeiro verifica a presença de um arquivo “125x” no diretório “% UserProfile%”. A execução do script é finalizada, se o arquivo estiver presente. Caso contrário, um arquivo com o mesmo nome é criado no diretório “% UserProfile%” e 6 bytes são gravados no arquivo como mostrado abaixo:

O script usa extensivamente o método sleep, o que poderia tornar inúteis as tecnologias tradicionais de sandboxing e emulação. Ele usa a estrutura do Windows Management Instrumentation (WMI) para coletar informações do sistema da vítima, conforme mostrado na tabela abaixo:

No momento, parece que o malware foi criado para atingir usuários do Brasil. Isso pode ser deduzido pelo fato de que os dados roubados são enviados de volta ao servidor C&C se a vítima for do “Brasil”. O país da vítima é validado com a verificação do código do país (“55” para o Brasil). Tabela 1. Consultas WMI e objetos usados pelo script

Em seguida, um script batch é inserido no sistema de arquivos e executado. Assim, primeiro exclui os atalhos existentes do Google Chrome e então cria atalhos incorretos do Google Chrome para iniciar o script malicioso do VBS.

O script batch diminui a segurança do navegador Web, modificando as configurações da zona do site da Internet. Para remover rastros de infecção do sistema, o script é, depois, excluído.

O malware agora verifica a presença de um arquivo chamado “utg.zip” no diretório “% UserProfile%”. Este arquivo contém a extensão do Chrome. Para garantir que a extensão atualizada do Chrome esteja presente no sistema da vítima, ele primeiro exclui e depois baixa o arquivo do servidor C&C.

O malware continua com sua coleta de dados e outras atividades. Ele coleta dados como o fabricante do sistema, o modelo, a legenda e a descrição da configuração do adaptador de rede, que são enviados posteriormente ao C&C Server, conforme mostrado abaixo:

O malware recebe o comando para interromper a execução pelo servidor C&C, se estiver em execução no ambiente virtual. Ele consegue isso enviando a palavra “bit” nos dados de resposta. Caso contrário, uma URL como payload final é enviada de volta para a vítima.

O malware usa um fragmento do código VBS de “hxxp: //pastebin.com/raw/kXaRaqSu” para fazer o download do payload final, que é um arquivo contendo a extensão do Chrome, conforme mostrado abaixo:

O malware verifica a presença do arquivo “% UserProfile% \ Chrome \ 1.9.6 \ 6.js” dentro do arquivo compactado e notifica o servidor C&C se o arquivo for encontrado como mostrado abaixo:

Um arquivo de manifesto baseado em JSON, “manifest.json”, que contém metadados sobre a extensão, é modificado pelo malware, conforme mostrado abaixo:

Informações detalhadas da extensão

·                    Arquivo Manifest.json

Este arquivo de manifesto contém informações de metadados referentes à extensão. Campos importantes deste arquivo de manifesto são descritos abaixo.

JS file hash

Evidências da detecção pela tecnologia RTDMI podem ser vistas abaixo no relatório Capture ATP para este arquivo:

A SonicWall luta contra a indústria do crime cibernético há mais de 27 anos, defendendo empresas de pequeno e médio porte, grandes corporações e órgãos governamentais no mundo todo. Respaldadas pela pesquisa do SonicWall Capture Labs, nossas premiadas soluções de detecção e prevenção de violações em tempo real protegem mais de um milhão de redes e seus e-mails, aplicativos e dados em mais de 215 países e territórios. Essas organizações operam com mais eficácia e com menos receios quanto à segurança.

Serviço
www.sonicwall.com/pt-br