Há anos, criminosos por trás de Trojans bancários, ferramentas de acesso remoto (RATs) e outros tipos de malware visam usuários de Microsoft Windows no Brasil por meio de um spam malicioso (malspam). Com frequência, os antivírus detectaram o malware associado como "Banload", uma família de Cavalo de Tróia que faz download de outros malwares. A Palo Alto Networks identificou 9,215 amostras marcadas como "Banload" no AutoFocus desde dezembro de 2013. Somente nos seis primeiros meses de 2017, 2.113 amostras já foram detectadas.

Itens identificados no AutoFocus como “Banload”: Jan – Jun 2017

Malspam_1

Figura 1: Exemplos de Banload vistos durante os seis primeiros meses de 2017.

O processo de infecção se tornou incrivelmente complexo. A Palo Alto Networks já havia detectado amostras do malspam brasileiro em 2015 e 2016, o que releva um processo de infecção de várias etapas. Em 2017, essa tendência continua e os criminosos se utilizam, muitas das vezes, de serviços legítimos como Google e Dropbox. A empresa também notificou ambas organizações sobre os ataques encontrados para que elas possam tomar as ações adequadas.

Etapas da infecção pelo malware

Esta categoria de malspam brasileira usa um processo de infecção de várias etapas. Os estágios iniciais começam a partir de um link no e-mail. Este link é de uma URL encurtada que leva através de uma série de redirecionamentos para uma URL de armazenamento na nuvem que, por sua vez, retorna com um arquivo zip malicioso.

Os estágios seguintes exigem que a vítima abra o arquivo zip e clique duas vezes em seu conteúdo. Neste caso, o zip malicioso contém um arquivo de atalho do Windows (.lnk) com um script para baixar malware binário e infectar o computador com ele.

Malspam_2

Figura 2: Processo de infecção de várias etapas com exemplo de junho de 2017 de malspam brasileiro

O email

Os usuários recebem um email (imagem) com uma mensagem que afirma ser a 3ª e última notificação para o pagamento do IPTU (Imposto Brasileiro, Territorial e Urbano) da Prefeitura. Porém, o cabeçalho do email mostra que a mensagem é de um endereço de IP italiano (212.237.35.135), um forte indício do malspam. Os atacantes também usam um endereço de remetente falsificado. Neste caso, eles usaram o endereço de e-mail do destinatário como o endereço do remetente. Criminosos por trás desta campanha abusam do serviço de encurtador de URL do Google como um link na mensagem.

Malspam_3

Figura 3: Exemplo de um malspam no fim de junho de 2017.

Depois de clicar na URL do email, o usuário é redirecionado para um endereço do Dropbox, onde é fornecido um arquivo zip para a vítima. O arquivo zipado contém um arquivo de atalho para o Microsoft Windows (um arquivo LNK). Durante os testes, no laboratório da Palo Alto Networks, ao clicar duas vezes nesse atalho, foi gerado mais tráfego e infectou o host do Windows no ambiente de laboratório.

Malspam_4

Figura 4: Tráfego de um usuário de Windows infectado indica o abuso de serviços legítimos

Malspam_5

Figura 5: Clicar no link direciona para um arquivo zip

O malware

O atalho utiliza uma técnica de exploração denominada "Squiblydoo", projetada para Bypassar a Whitelist de aplicativos, utilizando ferramentas incorporadas no sistema operacional Windows. Se o script malicioso fosse executado com apenas as permissões da conta do usuário, isso não funcionaria. No entanto, esta técnica usa binários Microsoft assinados que estão instalados no sistema operacional. O Squiblydoo permite que um usuário com privilégios normais baixe e execute um script com privilégios elevados de um servidor remoto. Nesse caso, o arquivo LNK usou regsvr32.exe para executar arquivos scriptlet recuperados de uma URL Dropbox.

Malspam_6

Figura 6: Arquivo de atalho malicioso (LNK) extraído do arquivo zip baixado.

Malspam_7

Figura 7: Scriptlet retornou do URL gerado pelo arquivo LNK

Malspam_8

Figura 8: O script retornou do URL gerado pelo arquivo anterior do scriptlet

Esta técnica Squiblydoo foi usada para fazer o download de outro arquivo zip que continha dois arquivos: um Windows executável e legítimo e um arquivo DLL malicioso. Estes dois arquivos eram extraídos e armazenados no host do Windows infectado em um diretório de nome aleatório sob a pasta AppData/Local/Roaming do usuário, conforme a imagem abaixo.

Malspam_9

Figura 9: Passo a passo do malware - download como zip, extraído e salvo sob a pasta AppData/Roaming

O executável é um componente do G-Buster Browser Defense, originalmente desenvolvido pela GAS Tecnologia. Diebold adquiriu a GAS Tecnologia em 2012 e a versão mais recente desse software é chamada Diagnóstico Warsaw. Nos últimos anos, esse sistema tem sido usado por diversas instituições financeiras no Brasil para prevenir fraudes bancárias garantindo uma identificação correta entre o computador do usuário, o banco e a conta bancária. O componente executável do G-Buster não é malicioso, embora esta versão específica não esteja mais em uso. Originalmente chamado GbpSv.exe, este é um executável assinado que geralmente não mostrará como malware pela maioria dos programas anti-vírus.

 

Malspam_10

Figura 10: Windows registrado para GbpSv.exe se torna persistente no host do Windows infectado

 

Este executável GbpSv.exe do G-Buster foi projetado para carregar um arquivo DLL nomeado fltLib.dll. O arquivo DLL é o componente verdadeiramente malicioso dos dois itens do host infectado. A técnica de carregar DLL malicioso usando um arquivo legítimo executável, é conhecida como Side Loading (carregamento lateral). O Side Loading é uma técnica cada vez mais usada pelos criminosos para esconder o conteúdo malicioso em arquivos DLL. O arquivo DLL parece ser malware de botnet e provavelmente possui um componente de roubo de informações comum a outros malwares vistos neste tipo de malspam brasileiro.

Tráfego pós-infecção

O tráfego pós-infecção consistiu em uma única solicitação HTTP POST que retornou informações sobre outros hosts infectados. Foram detectados dados em mais de 400 computadores Windows infectados no texto de retorno deste pedido HTTP. A maioria dos usuários infectados estava localizada no Brasil, mas também foram localizados usuários na Argentina, República Tcheca e Rússia.

Malspam_11

Figura 11: Tráfego pós-infecção de um host Windows infectado

Conclusão

O Google e o Dropbox foram notificados sobre as URLs maliciosas e os clientes da Palo Alto Networks estão protegidos contra esse tráfego. Uma infecção semelhante com características de correspondência foi observada em julho de 2017 e é uma tendência que deve continuar.

Os usuários localizados no Brasil ou pessoas que usam serviços bancários on-line brasileiros devem estar cientes dessa ameaça e tomar as precauções necessárias, como não clicar em links em emails suspeitos. A Palo Alto Networks continuará a investigar esta atividade ​​para informar a comunidade e aprimorar a plataforma de prevenção de ameaças.

Sobre a Palo Alto Networks

A Palo Alto Network é uma empresa de segurança de última geração, liderando uma nova era em cibersegurança, que permite com segurança aplicações e prevenção de violações cibernérticas para dezenas de milhares de organizações por todo o mundo. Construída com uma abordagem inovadora e capacidades altamente diferenciadas de prevenção de ciberameaças, nossa plataforma de segurança inovadoras entregam segurança muito superior a produtos já existentes ou direcionados, permite com segurança a operação de negócios diários e protege os ativos mais vulneráveis de uma organização. Veja mais em www.paloaltonetworks.com

Contato com a Imprensa:
Capital Informação - Assessoria de Imprensa
Luciane Bernardi – luciane@capitalinformacal.com.br
Tel: (11) 3926-9517/ (11) 3926-9518

 


Folha de dados

PA-800

Dispositivos Palo Alto Networks PA-800 Series de última geração, incluindo o PA-820 e o PA-850, são desenvolvidos para proteger filiais corporativas e empresas de médio porte.

  • 5517

Folha de dados

PA-3200 Series

Organizações do mundo todo estão ampliando suas iniciativas de nuvem e vir- tualização além das tradicionais implantações de centro de dados e de nuvem pública. As novas iniciativas incluem segurança como um componente NFV ou como uma solução mais completa para vários locatários.

  • 5553

Folha de dados

PA-5200 Series

O PA-5200 Series da Palo Alto Networks® para dispositivos de firewall de última geração é composto pelo PA-5260, PA-5250 e PA-5220.

  • 2019

Folha de dados

GlobalProtect Datasheet

GlobalProtect extends the protection of the Palo Alto Networks Next-Generation Security Platform to your mobile workforce, no matter where they may go.

  • 15625

Folha de dados

PA-220

O PA-220 da Palo Alto Networks apresenta os recursos dos firewalls de última geração para filiais corporativas distribuídas, varejo e empresas de médio porte.

  • 4969

Folha de dados

PA-3000 Series Specsheet

O PA-3000 Series gerencia os fluxos do tráfego de rede usando processamento e memória dedicados para rede, segurança, gerenciamento e prevenção de ameaças.

  • 5411