Nomeado como BANLOAD, o malware tem grupo de atacantes baseado no Brasil e inova com infecção por meio de new domain
Recentemente o laboratório regional da Trend Micro detectou uma tentativa de ataque por meio da engine de New Domain do produto Deep Discovery. Essa engine e responsável por gerar alertas quando um domínio novo é utilizado, sendo bastante utilizada atualmente para evasão de tecnologias baseadas em reputação de URL’s.
Entendendo o caso
O ponto de entrada para a infecção foi uma URL que, na época, não possuía nenhum malware hospedado. O ponto que chamou a atenção foi o redirecionamento por meio de um encurtador (algo bastante utilizado para evasão de tecnologias tradicionais) como o bit.ly, ow.ly e go.gl para uma URL maliciosa no Brasil que encaminhava o usuário a um download de um arquivo ZIP hospedado no DropBox.
Buscando burlar os sistemas de segurança existentes nos servidores de e-mail, foi enviado um endereço que direcionava o usuário ao download do arquivo malicioso. Segundo a Trend Micro, 91% dos ataques avançados têm o e-mail como ponto inicial de infecção normalmente por meio de um ataque do tipo Spear-Phishing.
A primeira detecção feita pelo Deep Discovery Inspector foi a chegada de um e-mail com uma URL utilizando um domínio novo na base de reputação da Trend Micro.
O atacante usa da engenharia social para fazer com que as vítimas cliquem no link enviado e sejam infectadas: o assunto do e-mail é “Segue o comprovante de depósito”.
Na sequência, após a vítima ser infectada, inicia-se a comunicação com o servidor de comando e controle do atacante e a partir desta fase, o protocolo utilizado na comunicação entre a máquina infectada e a comunicação C&C é HTTP.
A utilização de um User-Agent personalizado apresentou-se muito mais significativa do que o observado: em uma das primeiras ações do malware, identificou o nome da máquina infectada e possibilitou ao C&C fazer um registro daquela infecção.
Pontos de atenção
Pelo rastreamento na base de inteligência da Trend Micro, foi constatado que o User-Agent utilizado na comunicação, tem o mesmo nome de um grupo de atacantes brasileiro relacionado a possíveis ataques direcionados.
Abaixo os pontos que mais chamaram a atenção da Trend Micro durante análise do malware:
- Técnicas de evasão de análise em Sandbox: o malware pode detectar se sua execução está ocorrendo em um ambiente real ou simulado. Por meio do Deep Discovery Analyzer é possível iludir o malware utilizando técnicas anti-evasão;
- Download de módulos externos: foram detectados módulos adicionais para a captura das teclas, permitindo o roubo de senhas bancárias da vítima;
BANLOAD
Com a correlação automatizada das informações, o malware foi classificado como BANLOAD e tem como objetivo o roubo de dados bancários das vítimas infectadas, sendo o C&C mantido no Brasil, dentro de uma grande empresa de hosting. A Trend Micro estudou a estrutura do ambiente montado para “hostear” e monitorar os ataques.
Dentro de um diretório chamado Play, o atacante mantém uma página falsa de atualização do Adobe Flash, que redireciona o usuário para a URL mencionada no começo do artigo. Após o usuário clicar no link para “visualizar o comprovante de depósito” é exibida uma página informando ser necessário atualizar o flash e o usuário é redirecionado para um diretório do Dropbox, onde o malware está hospedado:
De posse de todas as informações, a Trend Micro comunicou ao DropBox que um grupo de atacantes estava utilizando seus serviços para hospedar um malware e o link foi retirado do ar.