A Palo Alto Networks identificou uma nova forma de malware que está se espalhando pelos e-mails dos brasileiros. Desde dezembro de 2013, a empresa detectou 9.125 amostras do spam malicioso (malspam) associado como “Banload“, uma família de Cavalo de Tróia que faz download de outros malwares. Somente em 2017, foram detectadas 2.113 amostras desse malware.
O processo de infecção acontece em várias etapas. No ataque, os usuários recebem uma mensagem que afirma ser a 3ª e última notificação para o pagamento do IPTU (Imposto Brasileiro, Territorial e Urbano) da Prefeitura com um arquivo para ser baixado.
Ao baixar o que o usuário acredita ser um boleto IPTU, ele salva em seu computador um arquivo zip contendo um Windows executável e um arquivo DLL malicioso e a princípio nada acontece.
A próxima parte da infecção acontece quando o usuário precisa utilizar o sistema bancário online. No Brasil, a maioria dos bancos utiliza um plugin de segurança bancária chamado G-Buster Browser Defense, desenvolvido pela GAS Tecnologia. Dentro dele, há um executável chamado GbpSv.exe que foi projetado para carregar um arquivo DLL nomeado fltLib.dll.
Em ambos os arquivos, é possível identificar a presença de um DLL, que é o componente verdadeiramente malicioso dos dois itens. A técnica de carregar DLL malicioso usando um arquivo legítimo executável é conhecida como Side Loading (carregamento lateral). Ela é cada vez mais usada pelos criminosos para esconder o conteúdo malicioso em arquivos DLL. O arquivo DLL parece ser malware de botnet e provavelmente possui um componente de roubo de informações comum a outros malwares vistos neste tipo de malspam brasileiro.
Passo 1
Os usuários recebem uma mensagem que afirma ser a 3ª e última notificação para o pagamento do IPTU (Imposto Brasileiro, Territorial e Urbano) da Prefeitura, com um link gerado pelo serviço de encurtador de URL do Google.
Passo 2
Ao clicar na URL do email, o usuário é redirecionado para um endereço do Dropbox, onde é fornecido um arquivo zip para a vítima baixar.
Passo 3
Ao clicar duas vezes no atalho baixado, o usuário do Windows abre a pasta infectada e deixa o seu computador vulnerável para o ataque
Passo 4
A pasta zipada contém um atalho para o Microsoft Windows com dois arquivos: um Windows executável e legítimo e um arquivo DLL malicioso. A técnica conhecida como Squiblydoo extrai e armazena no usuário do Windows o arquivo infectado em um diretório de nome aleatório sob a pasta AppData/Local/Roaming do usuário.
Passo 5
Paralelo a isso, o usuário instala em seu computador um plugin bancário do G-Buster Browser Defense, originalmente desenvolvido pela GAS Tecnologia. Diebold adquiriu a GAS Tecnologia em 2012 e a versão mais recente desse software é chamada Diagnóstico Warsaw. Nos últimos anos, esse sistema tem sido usado por diversas instituições financeiras no Brasil para prevenir fraudes bancárias garantindo uma identificação correta entre o computador do usuário, o banco e a conta bancária. O componente executável do G-Buster não é malicioso, embora esta versão específica não esteja mais em uso. Originalmente chamado GbpSv.exe, este é um executável assinado que geralmente não mostrará como malware pela maioria dos programas antivírus.
Durante os testes, a Palo Alto Networks identificou que o tráfego (imagem abaixo) pós-infecção consistiu em uma única solicitação HTTP POST que retornou informações sobre outros usuários infectados. Foram detectados dados em mais de 400 computadores Windows infectados no texto de retorno deste pedido HTTP. A maioria dos usuários infectados estava localizada no Brasil, mas também foram encontrados usuários na Argentina, República Tcheca e Rússia.
O Google e o Dropbox foram notificados sobre as URLs maliciosas e os clientes da Palo Alto Networks estão protegidos contra esse tráfego. Uma infecção semelhante com características de correspondência foi observada em julho de 2017 e é uma tendência que deve continuar.
Os usuários localizados no Brasil ou pessoas que usam serviços bancários on-line brasileiros devem estar cientes dessa ameaça e tomar as precauções necessárias, como não clicar em links em emails suspeitos. A Palo Alto Networks continuará a investigar esta atividade e aprimorar a plataforma de prevenção de ameaças.
