A mensagem seria, aproximadamente, o que segue abaixo:
From: {Dear Customer} ([email protected])
Subject: As requested, the Invoice of Payment is Below
Message Body:
Good Morning Sir/Madam customer,
As requested, the following is the invoice for payment
Corpo da mensagem:
Bom dia Senhor/Senhora cliente,
Conforme solicitado, o seguinte e-mail traz a fatura para pagamento. [Ícone PDF] Clique aqui para download.
O endereço de e-mail usado neste ataque pode parecer autêntico à primeira vista, mas na verdade, é apenas um endereço Outlook.com, que é um serviço de webmail gratuito da Microsoft. Na mensagem em si, há dois itens destacados: o ícone do PDF, e um link após o ícone PDF. O ícone PDF é realmente um hot-link de uma imagem hospedada pelo Google, que é um ícone de download no referido formato. Quando clicado, ele leva a um website, a partir do qual é exibida a mensagem "access denied".
No entanto, se o usuário não clicar sobre o tal link, ao contrário do ícone, eles serão direcionados para um documento que está hospedado no Google Drive. A partir deste documento, o usuário é redirecionado para uma página maliciosa, como pode ser visto abaixo:
Documento do Google
Depois de mais redirecionamentos, o usuário é enviado para a URL de um arquivo malicioso. Dentro deste arquivo baixado chamado Fature.zip, se encontra o malware Control Panel.
Arquivo Malicioso
Detalhes de redirecionamento:
Como foi visto, na verdade existem três sites maliciosos necessários para chegar ao arquivo nefasto. A cadeia global de infecção é a seguinte:
- Mensagem de Spam
- Google Drive URL
- http:// {domínio malicioso #1} / pdf / View.php
- http:// {domínio malicioso #2} / Fatura.zip
Ambos os domínios maliciosos acima mencionados, estão hospedados no Brasil, e usam o domínio .br. Usar uma URL Google Drive como o vetor de infecção inicial foi uma decisão inteligente, devido ao tráfego de rede com o Google não ter sido detectado como malicioso. Além disso, a página neste URL do Google é realmente um documento HTML, que usa a tag META para redirecionar os usuários para o primeiro site malicioso, como foi mostrado na Figura 2.
Dessa forma, é possível observar que no domínio malicioso nº 1, também há um redirecionamento dentro do site: a URL do Google só vai para o diretório Pdf, e o próprio site redireciona os usuários para a página view.php.
Site de Direcionamento Malicioso
A partir daqui, como foi possível realizar o download da carga maliciosa Fatura.zip? Nesse processo, foi usado código de status HTTP de redirecionamento, como foi usado por domínio malicioso #1:
Redirecionamento de Status HTTP
- Para pedir que o navegador pra carregue uma página diferente. Neste caso, o header Location seria enviado com o código de status HTTP 302 e, em seguida, mostraria um status "Moved Temporarily". Isto é o que foi descrito acima. O usuário não tem escolha no assunto, pois isso faz parte do próprio protocolo HTTP.
- Para fornecer informações sobre a localização de um recurso recém-criado, mas isso iria com um código de status HTTP 201 ou 202.
Dessa forma, é possível ver como o atacante projetou este ataque para torná-lo mais difícil de ser bloqueado: usando uma URL relacionada com o Google, bloquear estas URLs seria muito difícil. Mesmo com sua má utilização do serviço Google Drive seria complicado de lidar, já que o atacante não chegou a usar o serviço para hospedar conteúdo malicioso. Mas, ao invés disso, usou-o como um redirecionador. Além do mais, os múltiplos redirecionamentos podem tornar ainda mais difíceis os procedimentos de bloqueio. (A inspeção casual pode levar alguém a acreditar que o URL malicioso veio do Google, o que não é claramente o caso.). Na próxima etapa, será explanado como esse ataque procede, uma vez que tenha sido instalado em um sistema afetado.
Saiba Mais:
[1] Trend Labs - Security Intelligence http://blog.trendmicro.com/trendlabs...attack-part-1/
Mensagem do Sistema