• Anatomia de Ataque do Malware Control Panel (CPL) - Parte 1

    Recentemente, os pesquisadores da Trend Micro discutiram como o malware Control Panel (CPL), vem se espalhando por toda a América Latina. No passado, eles puderam analisar com algum detalhe como o malware CPL desenvolveu as suas atividades, bem como o quadro geral de como esta ameaça vem se espalhando. Nesta postagem, será possível examinar em detalhes, como esse malware se propagou, e como é sua relação com outros sites e com outros componentes maliciosos. Faz pouco tempo, quando os pesquisadores estavam verificando sua caixa de correio de spam, que foi encontrada uma dessas mensagens por lá. Especificamente, havia o seguinte tipo de e-mail:



    A mensagem seria, aproximadamente, o que segue abaixo:

    From: {Dear Customer} (delivery-receipt@outlook.com)
    Subject: As requested, the Invoice of Payment is Below

    Message Body:
    Good Morning Sir/Madam customer,
    As requested, the following is the invoice for payment

    Corpo da mensagem:
    Bom dia Senhor/Senhora cliente,
    Conforme solicitado, o seguinte e-mail traz a fatura para pagamento. [Ícone PDF] Clique aqui para download.


    O endereço de e-mail usado neste ataque pode parecer autêntico à primeira vista, mas na verdade, é apenas um endereço Outlook.com, que é um serviço de webmail gratuito da Microsoft. Na mensagem em si, há dois itens destacados: o ícone do PDF, e um link após o ícone PDF. O ícone PDF é realmente um hot-link de uma imagem hospedada pelo Google, que é um ícone de download no referido formato. Quando clicado, ele leva a um website, a partir do qual é exibida a mensagem "access denied".

    No entanto, se o usuário não clicar sobre o tal link, ao contrário do ícone, eles serão direcionados para um documento que está hospedado no Google Drive. A partir deste documento, o usuário é redirecionado para uma página maliciosa, como pode ser visto abaixo:


    Documento do Google

    Depois de mais redirecionamentos, o usuário é enviado para a URL de um arquivo malicioso. Dentro deste arquivo baixado chamado Fature.zip, se encontra o malware Control Panel.


    Arquivo Malicioso


    Detalhes de redirecionamento:

    Como foi visto, na verdade existem três sites maliciosos necessários para chegar ao arquivo nefasto. A cadeia global de infecção é a seguinte:


    1. Mensagem de Spam
    2. Google Drive URL
    3. http:// {domínio malicioso #1} / pdf / View.php
    4. http:// {domínio malicioso #2} / Fatura.zip


    Ambos os domínios maliciosos acima mencionados, estão hospedados no Brasil, e usam o domínio .br. Usar uma URL Google Drive como o vetor de infecção inicial foi uma decisão inteligente, devido ao tráfego de rede com o Google não ter sido detectado como malicioso. Além disso, a página neste URL do Google é realmente um documento HTML, que usa a tag META para redirecionar os usuários para o primeiro site malicioso, como foi mostrado na Figura 2.

    Dessa forma, é possível observar que no domínio malicioso nº 1, também há um redirecionamento dentro do site: a URL do Google só vai para o diretório Pdf, e o próprio site redireciona os usuários para a página view.php.


    Site de Direcionamento Malicioso


    A partir daqui, como foi possível realizar o download da carga maliciosa Fatura.zip? Nesse processo, foi usado código de status HTTP de redirecionamento, como foi usado por domínio malicioso #1:


    Redirecionamento de Status HTTP

    O campo de header HTTP Location (destacado acima), é fornecido para o navegador web em duas circunstâncias:


    • Para pedir que o navegador pra carregue uma página diferente. Neste caso, o header Location seria enviado com o código de status HTTP 302 e, em seguida, mostraria um status "Moved Temporarily". Isto é o que foi descrito acima. O usuário não tem escolha no assunto, pois isso faz parte do próprio protocolo HTTP.
    • Para fornecer informações sobre a localização de um recurso recém-criado, mas isso iria com um código de status HTTP 201 ou 202.


    Dessa forma, é possível ver como o atacante projetou este ataque para torná-lo mais difícil de ser bloqueado: usando uma URL relacionada com o Google, bloquear estas URLs seria muito difícil. Mesmo com sua má utilização do serviço Google Drive seria complicado de lidar, já que o atacante não chegou a usar o serviço para hospedar conteúdo malicioso. Mas, ao invés disso, usou-o como um redirecionador. Além do mais, os múltiplos redirecionamentos podem tornar ainda mais difíceis os procedimentos de bloqueio. (A inspeção casual pode levar alguém a acreditar que o URL malicioso veio do Google, o que não é claramente o caso.). Na próxima etapa, será explanado como esse ataque procede, uma vez que tenha sido instalado em um sistema afetado.


    Saiba Mais:

    [1] Trend Labs - Security Intelligence http://blog.trendmicro.com/trendlabs...attack-part-1/
    Comentários 1 Comentário
    1. Avatar de yamasaki
      yamasaki -
      Boa tarde,
      É, pela infelicidade houve um atendimento que foi enviado por robot's automáticos quando o cliente enviava o email real e substituia o anexo e enviava um arquivo Todas_as_Fotos_cpl para a instalação de remote vnc... O cliente foi avisado e interditado o envio pelo equipamento.
    + Enviar Comentário



Visite: BR-Linux ·  VivaOLinux ·  Dicas-L