Uma nova variante do Trojan bancário Dridex é parte de um sofisticado ataque de phishing visando usuários do sistema cloud de gestão contábil Xero, da empresa de mesmo nome.
A campanha global é a mais recente em que peritos de segurança da Trustwave disseram se tratar de uma onda de ataques de phishing contra a Xero e outros serviços financeiros e contábeis, como o Intuit, por exemplo.
Como parte da campanha, os atacantes estão falsificando mensagens que parecem ser de origem da Xero, uma empresa de contabilidade com sede na Nova Zelândia que vende serviços de contabilidade baseados na nuvem para pequenas e médias empresas. As mensagens contém links maliciosos que tentam enganar os destinatários para que baixem arquivos zip contendo um arquivo JavaScript.
“Na execução, este JavaScript baixa e lança um malware bancário no computador da vítima, roubando suas informações pessoais e privadas, deixando-os vulneráveis e a espera de seus atacantes”, disseram os pesquisadores de Trustwave, Fahim Abbasi e Rodel Mendrez, que são os co-autores de um relatório sobre a campanha e publicado na quarta-feira (06/set/2017).
A linha do assunto das mensagens normalmente é “Notificações de cobrança Xero” e com o endereço de e-mail de origem exibindo como “xeronet.org” em vez do negócio legítimo “xero.com”. O domínio foi registrado na China no mesmo dia em que a campanha começou (16/ago/2017). O corpo da mensagem tenta falsificar um questionamento legítimo da Xero, solicitando ao destinatário que siga um conjunto de URLs mal-intencionados. (vide abaixo)
“Navegar para qualquer URL tem o mesmo resultado, as URLs carregam o JavaScript no navegador, forçando o download do arquivo ZIP para o computador da vítima”, disseram os pesquisadores. Descompactando o arquivo ‘Xero Invoice.zip’, será extraído o ‘Xero Invoice.js’.
“Em análises adicionais, parece ser um downloader JavaScript genérico, que emprega o objeto Microsoft ActiveX MSXML2.XMLHTTP para baixar o payload (carga útil) do malware. Este objeto é usado para enviar uma requisição HTTP arbitrária, receber a resposta e ter o Microsoft XML Document Object Model (DOM) para analisar as respostas”, escreveram os pesquisadores.
O payload do malware é identificado como ‘Y739Ayh.exe’, uma variante do Trojan bancário Dridex. A Trustwave chamou de um “sofisticado exemplo de malware” capaz de reunir informações do sistema, como aplicativos instalados e detalhes da conta do usuário. O malware também cria várias configurações de políticas e alterações de configuração do sistema para o Internet Explorer através do registro. O malware também tenta conectar processos benignos do Windows, como ‘whoami.exe’ e ‘net.exe’.
“Quando executado, Y739Ayh.exe executa uma técnica de Process Hollowing para injetar seu código malicioso em um processo legítimo. Ele cria um processo suspenso de qualquer um dos dois processos alvo: ‘svchost.exe’ ou ‘spoolsv.exe’, usando a API CreateProcessInternalW()”, escreveram os pesquisadores. Depois que o código malicioso é escrito, o executável principal (‘Y739Ayh.exe’) é então excluído.
“O malware detecta o sistema infectado ao reunir o nome do computador, informações do sistema, bem como informações de privilégios e nível de integridade. Ele usa os comandos do Windows, como ‘whoami.exe / all’ e ‘net.exe view’ e, em seguida, salva o resultado em um arquivo .tmp na pasta %Temp% do Windows, que posteriormente é ordenado”, de acordo com os pesquisadores.
As informações são armazenadas em formato XML e, em seguida, são criptografadas e ordenadas para um servidor de controle usando diversas portas diferentes e não padronizadas através de canais SSL criptografados.
“O Dridex foi projetado para roubar informações bancárias e pessoais através de injeções nos navegadores, como o Firefox, Chrome e Internet Explorer. Ele monitora a atividade de navegação e rouba informações confidenciais para bancos online de destino listados em seu arquivo de configuração”, escreveu Trustwave.
O número de campanhas do malware bancário Dridex flutuou no ano passado. Em janeiro, as campanhas do Dridex estavam aumentando após um prolongado hiato de seis meses. De acordo com a empresa de segurança Flashpoint, o Trojan começou a segmentar grandes instituições financeiras no Reino Unido com uma nova técnica que pode ignorar o Controle da Conta de Usuário (UAC, ou User Account Control) do Windows.
Em fevereiro, pesquisadores da IBM X-Force identificaram a nova amostra Dridex v4 que ostenta um novo método de injeção para evadir a detecção com base na técnica conhecida como AtomBombing. Em abril, a Microsoft corrigiu uma vulnerabilidade zero-day que estava sendo usada para espalhar o Trojan bancário Dridex.
Em cada um dos casos, campanhas foram focadas em bancos e grandes instituições financeiras do Reino Unido.
Ataques visando clientes Xero seguem uma série de campanhas relacionadas com clientes de empresas de serviços de softwares financeiros online. Em muitos casos, os e-mails de phishing utilizaram o Microsoft SharePoint para hospedar URLs mal-intencionados – como fez a campanha Xero.
“Nossa pesquisa sugere que, com base na correspondência dessas informações, os cibercriminosos por trás dessa nova onda de ataques de phishing têm sido ativos no passado com campanhas similares usando domínios”, disseram os pesquisadores. Essas campanhas semelhantes começaram no dia 20 de agosto e incluíram links para domínios como: xeroaccounting[.]org, intuito[.]biz, quickbooks-support[.]biz, financialaccountant[.]info, myobaustralia[.]org, australiangovernments[.]com, btconnect[.]biz e drvenergy[.]com.
“Tais ataques vieram à tona como uma tendência recente no cenário de ataques que exploram a confiança que as pessoas associam a marcas específicas. Como medida de mitigação, os clientes devem evitar a abertura de mensagens de e-mail que parecem suspeitas, especialmente evitar a abertura de arquivos desconhecidos”, escreveu Abbasi e Mendrez.
Publicado originalmente no ThreatPost em 07 de setembro de 2017.
Este conteúdo foi traduzido com permissão. ThreatPost não é afiliado com este site.
Autor: Tom Spring
Tradução por Tiago Souza
Imagem destacada deste post: Freepik
Pingback: Submundo dos crimes virtuais: dados pessoais, cartões de créditos e senhas - Tiago Souza
Pingback: Trojan Ursnif adota nova técnica de injeção de código - Tiago Souza