Há anos, criminosos por trás de Trojans bancários, ferramentas de acesso remoto (RATs) e outros tipos de malware visam usuários de Microsoft Windows no Brasil por meio de um spam malicioso (malspam). Com frequência, os antivírus detectaram o malware associado como "Banload", uma família de Cavalo de Tróia que faz download de outros malwares. A Palo Alto Networks identificou 9,215 amostras marcadas como "Banload" no AutoFocus desde dezembro de 2013. Somente nos seis primeiros meses de 2017, 2.113 amostras já foram detectadas.

Itens identificados no AutoFocus como “Banload”: Jan – Jun 2017

Figura 1: Exemplos de Banload vistos durante os seis primeiros meses de 2017.

O processo de infecção se tornou incrivelmente complexo. A Palo Alto Networks já havia detectado amostras do malspam brasileiro em 2015 e 2016, o que releva um processo de infecção de várias etapas. Em 2017, essa tendência continua e os criminosos se utilizam, muitas das vezes, de serviços legítimos como Google e Dropbox. A empresa também notificou ambas organizações sobre os ataques encontrados para que elas possam tomar as ações adequadas.

Etapas da infecção pelo malware

Esta categoria de malspam brasileira usa um processo de infecção de várias etapas. Os estágios iniciais começam a partir de um link no e-mail. Este link é de uma URL encurtada que leva através de uma série de redirecionamentos para uma URL de armazenamento na nuvem que, por sua vez, retorna com um arquivo zip malicioso.

Os estágios seguintes exigem que a vítima abra o arquivo zip e clique duas vezes em seu conteúdo. Neste caso, o zip malicioso contém um arquivo de atalho do Windows (.lnk) com um script para baixar malware binário e infectar o computador com ele.

Figura 2: Processo de infecção de várias etapas com exemplo de junho de 2017 de malspam brasileiro

O email

Os usuários recebem um email (imagem) com uma mensagem que afirma ser a 3ª e última notificação para o pagamento do IPTU (Imposto Brasileiro, Territorial e Urbano) da Prefeitura. Porém, o cabeçalho do email mostra que a mensagem é de um endereço de IP italiano (212.237.35.135), um forte indício do malspam. Os atacantes também usam um endereço de remetente falsificado. Neste caso, eles usaram o endereço de e-mail do destinatário como o endereço do remetente. Criminosos por trás desta campanha abusam do serviço de encurtador de URL do Google como um link na mensagem.

Figura 3: Exemplo de um malspam no fim de junho de 2017.

Depois de clicar na URL do email, o usuário é redirecionado para um endereço do Dropbox, onde é fornecido um arquivo zip para a vítima. O arquivo zipado contém um arquivo de atalho para o Microsoft Windows (um arquivo LNK). Durante os testes, no laboratório da Palo Alto Networks, ao clicar duas vezes nesse atalho, foi gerado mais tráfego e infectou o host do Windows no ambiente de laboratório.

Figura 4: Tráfego de um usuário de Windows infectado indica o abuso de serviços legítimos

Figura 5: Clicar no link direciona para um arquivo zip

O malware

O atalho utiliza uma técnica de exploração denominada "Squiblydoo", projetada para Bypassar a Whitelist de aplicativos, utilizando ferramentas incorporadas no sistema operacional Windows. Se o script malicioso fosse executado com apenas as permissões da conta do usuário, isso não funcionaria. No entanto, esta técnica usa binários Microsoft assinados que estão instalados no sistema operacional. O Squiblydoo permite que um usuário com privilégios normais baixe e execute um script com privilégios elevados de um servidor remoto. Nesse caso, o arquivo LNK usou regsvr32.exe para executar arquivos scriptlet recuperados de uma URL Dropbox.

Figura 6: Arquivo de atalho malicioso (LNK) extraído do arquivo zip baixado.

Figura 7: Scriptlet retornou do URL gerado pelo arquivo LNK

Figura 8: O script retornou do URL gerado pelo arquivo anterior do scriptlet

Esta técnica Squiblydoo foi usada para fazer o download de outro arquivo zip que continha dois arquivos: um Windows executável e legítimo e um arquivo DLL malicioso. Estes dois arquivos eram extraídos e armazenados no host do Windows infectado em um diretório de nome aleatório sob a pasta AppData/Local/Roaming do usuário, conforme a imagem abaixo.

Figura 9: Passo a passo do malware - download como zip, extraído e salvo sob a pasta AppData/Roaming

O executável é um componente do G-Buster Browser Defense, originalmente desenvolvido pela GAS Tecnologia. Diebold adquiriu a GAS Tecnologia em 2012 e a versão mais recente desse software é chamada Diagnóstico Warsaw. Nos últimos anos, esse sistema tem sido usado por diversas instituições financeiras no Brasil para prevenir fraudes bancárias garantindo uma identificação correta entre o computador do usuário, o banco e a conta bancária. O componente executável do G-Buster não é malicioso, embora esta versão específica não esteja mais em uso. Originalmente chamado GbpSv.exe, este é um executável assinado que geralmente não mostrará como malware pela maioria dos programas anti-vírus.

Figura 10: Windows registrado para GbpSv.exe se torna persistente no host do Windows infectado

Este executável GbpSv.exe do G-Buster foi projetado para carregar um arquivo DLL nomeado fltLib.dll. O arquivo DLL é o componente verdadeiramente malicioso dos dois itens do host infectado. A técnica de carregar DLL malicioso usando um arquivo legítimo executável, é conhecida como Side Loading (carregamento lateral). O Side Loading é uma técnica cada vez mais usada pelos criminosos para esconder o conteúdo malicioso em arquivos DLL. O arquivo DLL parece ser malware de botnet e provavelmente possui um componente de roubo de informações comum a outros malwares vistos neste tipo de malspam brasileiro.

Tráfego pós-infecção

O tráfego pós-infecção consistiu em uma única solicitação HTTP POST que retornou informações sobre outros hosts infectados. Foram detectados dados em mais de 400 computadores Windows infectados no texto de retorno deste pedido HTTP. A maioria dos usuários infectados estava localizada no Brasil, mas também foram localizados usuários na Argentina, República Tcheca e Rússia.

Figura 11: Tráfego pós-infecção de um host Windows infectado

Conclusão

O Google e o Dropbox foram notificados sobre as URLs maliciosas e os clientes da Palo Alto Networks estão protegidos contra esse tráfego. Uma infecção semelhante com características de correspondência foi observada em julho de 2017 e é uma tendência que deve continuar.

Os usuários localizados no Brasil ou pessoas que usam serviços bancários on-line brasileiros devem estar cientes dessa ameaça e tomar as precauções necessárias, como não clicar em links em emails suspeitos. A Palo Alto Networks continuará a investigar esta atividade ​​para informar a comunidade e aprimorar a plataforma de prevenção de ameaças.

Sobre a Palo Alto Networks

A Palo Alto Network é uma empresa de segurança de última geração, liderando uma nova era em cibersegurança, que permite com segurança aplicações e prevenção de violações cibernérticas para dezenas de milhares de organizações por todo o mundo. Construída com uma abordagem inovadora e capacidades altamente diferenciadas de prevenção de ciberameaças, nossa plataforma de segurança inovadoras entregam segurança muito superior a produtos já existentes ou direcionados, permite com segurança a operação de negócios diários e protege os ativos mais vulneráveis de uma organização. Veja mais em www.paloaltonetworks.com

Contato com a Imprensa:
Capital Informação - Assessoria de Imprensa
Luciane Bernardi – luciane@capitalinformacal.com.br
Tel: (11) 3926-9517/ (11) 3926-9518