Uma análise detalhada de pesquisadores de segurança mostra como o malware financeiro brasileiro está se espalhando para além das fronteiras nacionais para atacar bancos em países de língua espanhola através do sul e da América Latina, e Portugal e Espanha na Europa.
Os Crackers brasileiros são muitas vezes ofuscados na mídia por notícias sobre hackers russos, chineses, iranianos e norte-coreanos – mas uma nova pesquisa da Cybereason sugere um crescente conhecimento técnico e uma aspiração proveniente do Brasil.
Assaf Dahan, diretor sênior de caça às ameaças da Cybereason, e analista de segurança da Cybereason, Joakim Kandefelt, acompanharam e analisaram campanhas recentes e descobriram uma campanha de malware furtivo de vários estágios que foge do radar e é difícil de detectar ( A Cybereason usou detecção comportamental baseada em IA). A pesquisa foi publicada agora .
Eles também descobriram que a campanha não se limita a atacar bancos no Brasil de língua portuguesa, mas se espalhou amplamente para os países de língua espanhola. “Esses países”, observam os pesquisadores, “incluem Argentina, Bolívia, Chile, Venezuela e Espanha. A Cybereason encontrou amostras anteriores de malware brasileiro direcionadas a mais países, como México, Portugal, Colômbia e outros países latino-americanos.
A campanha começa com engenharia social e termina com a entrega de um RAT. O RAT parece ser uma adaptação do RAT Delphi_Remote_Access_PC disponível no GitHub. O código do GitHub não tem nenhuma funcionalidade diretamente relacionada ao malware, e a Cybereason acredita que ele foi reaproveitado por cibercriminosos brasileiros para uso próprio.
A campanha usa uma metodologia de infecção em vários estágios. Embora essa não seja uma nova abordagem, ela continua sendo eficaz para evitar a detecção. Começa com um e-mail de phishing, muitas vezes disfarçado de uma fatura comercial legítima ou um e-mail falso da VIVO (a maior empresa de telecomunicações do Brasil). Contém um URL abreviado ou um anexo que busca um downloader do primeiro estágio. Se um anexo estiver incluído, geralmente é um arquivo PDF que dispara uma solicitação para o URL abreviado quando é clicado em qualquer lugar.
Esse downloader de primeiro estágio inclui outra URL encurtada projetada para buscar o downloader do segundo estágio de um serviço de hospedagem, como o GitHub, Pastebin, AWS ou Dropbox.
O segundo estágio do downloader, geralmente disfarçado como uma atualização em Flash ou Java, geralmente é um script do PowerShell ofuscado que busca a carga principal. Por vezes inclui funcionalidades concebidas para criar persistência e executar verificações anti-análise. Um exemplo fornecido pelos pesquisadores é descrito como “um script do PowerShell que verifica uma infecção existente, descarta um arquivo em lotes que verifica os valores no registro, descarta um arquivo .lnk que aponta para o arquivo em lotes supramencionado para persistência e busca um arquivo secundário”. carga útil criptografada xor do mesmo servidor remoto. “
A carga final que rouba dados bancários on-line dos bancos-alvo encontrados na configuração de malware é novamente baixada de serviços de hospedagem legítimos. A configuração é incorporada na carga útil dos serviços legítimos ou obtida de um servidor C & C.
Esse método de entrega encadeada, usando encurtadores de URL legítimos e serviços da Web, dificulta a detecção de uma séria anomalia no tráfego de rede da vítima. Mas todo o processo faz uso generalizado de técnicas furtivas. Por exemplo, muitos dos payloads do primeiro estágio compreendem um script ofuscado ou um conjunto de comandos ofuscados.
Um exemplo fornecido pelos pesquisadores “usa uma ofuscação que gradualmente constrói sua carga útil”. Eles acreditam que o método de ofuscação é adotado pelo projeto Invoke-Obfuscation, de Daniel Bohannon. “Depois que o PowerShell é executado, a carga útil real do downloader não aparece nos argumentos da linha de comando do processo.”
Os criminosos também usam aplicativos assinados pela Microsoft, geralmente descritos como “vivendo fora da terra”, para disfarçar ainda mais suas atividades. Em um exemplo, um arquivo .lnk falsificou um atalho do Internet Explorer. Uma vez executado, um payload secundário foi baixado e executado usando o msiexec da Microsoft.
Em outro exemplo, um arquivo .lnk usava o Certutil da Microsoft para decodificar uma carga base64 que era mais ofuscada com carets inseridos entre quase todos os outros caracteres. Depois de decodificado e desofuscado, o comando baixou uma carga secundária.
O malware final é geralmente um malware brasileiro bastante comum, conhecido como Banload , Banbra , Bancos, Delf e Spy / Banker .
“O malware financeiro brasileiro”, alerta o relatório, “é conhecido por sua eficácia em superar a autenticação multifatorial (MFA), implementando sofisticados truques de engenharia social para extrair códigos SMS e outras informações de tokens de segurança, usando telas de sobreposição.”
O malware principal é executado por vários métodos. Isso inclui técnicas de seqüestro de DLL “contra fornecedores de segurança confiáveis, incluindo Avira e McAfee, e empresas de tecnologia confiáveis como VMware, NVIDIA, HP, Realtek e Adobe”. No entanto, esse método relativamente comum foi desenvolvido pelos hackers brasileiros – dividindo a carga de malware em dois componentes. Uma seria uma DLL falsa que carrega malware criptografado na memória, descriptografa e executa.
A carga de malware, no entanto, não pode ser executada sem o carregador separado. Essa codependência entre o carregador e a carga útil criptografada dificulta a detecção e a análise do malware.
As infecções não terminam com o malware financeiro. A Cybereason encontrou pós-infecção adicional em máquinas comprometidas. “Além dos cavalos de Troia bancários”, escrevem os pesquisadores, “descobrimos que as mesmas campanhas estavam distribuindo mineradores de criptomoedas, infostealers e malwares que visam o Microsoft Outlook. Malware que atinge o Outlook é uma preocupação especial, pois representa um grande risco para organizações em todo o mundo”. “
A pesquisa da Cybereason demonstra até que ponto os hackers brasileiros tentam esconder sua atividade. Também demonstra que as campanhas de malware financeiras existentes expandiram suas metas do Brasil de língua portuguesa para vários países de língua espanhola. Esta pesquisa foca em campanhas bancárias específicas para falantes de português e espanhol, mas “é seguro assumir”, disse Assaf Dahan à SecurityWeek, “que existem outros atores de ameaças brasileiros também em outros países”.
A Cybereason, de Boston, Massachusetts, levantou US $ 100 milhões em financiamento da Série D da SoftBank Corp em junho de 2017; elevando o total para US $ 188,6 milhões.
Fonte: https://www.securityweek.com/brazilian-financial-malware-spreads-beyond-national-boundaries