FireEye explica como funciona família de ameaças que querem se aproveitar de vítimas para entrar em contas dos usuários
Os laboratórios da FireEye, empresa de segurança guiada por inteligência, identificaram recentemente várias campanhas massivas de phishing visando usuários brasileiros de internet banking, por meio de Cavalos de Troia. Ao longo dos estágios destas campanhas, a que os especialistas da FireEye deram o nome de Metamorfo, inúmeras táticas e técnicas que buscam evitar a detecção e fornecer a carga maliciosa foram observadas.
Os especialistas da FireEye explicam como funcionam as duas principais campanhas, que buscam se aproveitar principalmente do desconhecimento das vítimas e as levam a executar arquivos maliciosos, pensando se tratar de softwares de segurança de bancos, faturas ou comprovantes de transferência eletrônica.
A campanha tem início com um e-mail que contém um simples anexo HTML. Neste anexo, uma atualização utiliza uma URL encurtada como o destino final. Assim que uma vítima clica no anexo, é automaticamente redirecionada para um site legítimo de armazenamento na nuvem, como o Google Drive ou o Dropbox, o que traz maior credibilidade ao processo.
No site de armazenamento, um arquivo no formato ZIP abrange quatro documentos maliciosos, um deles com uma nova aplicação de HTML incorporada (HTA). O usuário precisa descompactar o arquivo e clicar duas vezes neste documento executável para que a cadeia de infecção continue. Ao clicar estas duas vezes no documento, o arquivo malicioso é extraído sem que a vítima saiba.
Uma das principais características da campanha é a persistência, adicionando uma chave de registro na mesma pasta “Administrador”, extraindo documentos, renomeando arquivos e até criando uma nova chave persistente. Caso a vítima apenas delete estes documentos, é importante ressaltar que o malware tem a capacidade de recriar toda a cadeia e fazer o download do mesmo arquivo ZIP.
Com o Cavalo de Troia inserido, softwares de segurança e firewall podem ser impedidos. Uma análise dos programas em execução da vítima é feita rapidamente. O ciberatacante pode até visualizar a tela da vítima e tirar screenshots, por exemplo. Logo depois, traça uma rápida comparação com uma lista de sites de instituições financeiras brasileiras ou de moedas digitais. Caso a vítima esteja utilizando um destes sites no momento, o Trojan derruba o servidor.
A segunda campanha é muito parecida, apesar de mais avançada. Também é iniciada por emails, muitas vezes o phishing, que possuem links redirecionando a vítima para domínios legítimos ou comprometidos, por meio de uma URL encurtada como destino. Novamente, o mesmo processo – o usuário é encaminhado para um site de armazenamento, que hospeda um arquivo ZIP com documentos maliciosos.
O malware é capaz de coletar inúmeras informações das vítimas, como a versão, arquitetura e o nome do sistema operacional; antivírus e firewall instalados; lista de possíveis softwares bancários instalados; endereço de IP; entre outras. Também é capaz de alterar o valor da chave de registro.
Assim como o Trojan da primeira campanha, procura por bancos, instituições financeiras e moedas digitais brasileiras. O malware ainda exibe formulários falsos em sites de bancos, para interceptar as credenciais do usuário. Isso traz maior veracidade ao ataque.
