O pesquisador de malware, de origem francesa, conhecido como "Kafeine", notou que enquanto os exploits apresentavam os mesmos hashes como antes, seus instrumentos não detectaram o payload e os seus sistemas de prevenção de intrusão host-based (HIPS) foram fortemente ignorados. Nesse ponto, o pesquisador percebeu que o kit exploit phishing tornou-se capaz de infectar hosteds pela injeção de malware em processos existentes, e neste caso, o processo de browser. O malware oferecido no ataque e que foi analisado pela pesquisadora foi o "Necurs", um trojan que pode ser usado para desativar os produtos de segurança e baixar outras ameaças para sistemas infectados.
Payload de Malware, Download e Processos de Execução
"O fluxo de trabalho de exploração típico, consiste de um usuário chegar a uma página de destino que dispara vários exploits (flash, reader, Java, etc), que por sua vez, resulta em uma payload de malware que está sendo baixado para a máquina do usuário e executado a partir de um local específico, muitas vezes dentro da pasta dos arquivos temporários", disse Jerome Segura, pesquisador sênior de segurança da Malwarebytes, através de um e-mail. "Estes ataques drive-by download, deixam um "traço físico" em máquinas das vítimas e diversos softwares de segurança (antivírus de/anti-malware para as mais genéricas whitelisting)."
Neste novo método de ação, um payload criptografado é "deobfuscado" em tempo real com a utilização de XOR, e depois carregado diretamente em um processo existente como iexplore.exe, caracterizando um novo segmento. O que é tão especial sobre isso, é o fato de que o payload nunca realmente entra em contato com o disco rígido. O malware permanece ativo na memória, mesmo depois que o usuário fecha o navegador; e a única maneira de completamente "matá-lo" é encerrar o processo que recebeu a injeção ou reiniciar o computador.
Bypass em Soluções de Segurança e Malware para Roubo de Informações
Kafeine salientou que essa técnica, não só permite que os atacantes possam ignorar soluções de segurança, mas também é ideal para as atividades de malware que roubam de informações como Pony, Andromeda ou Jolly Roger, e que não necessariamente precisa ser persistente, a fim de realizar as suas tarefas. Além disso, o uso deste método permite que criminosos cibernéticos possam reunir informações sobre a máquina infectada, antes que qualquer coisa seja gravado no disco. Isso faz com que seja mais difícil para os pesquisadores obter o dropper.
Proxy Reverso e Injeção de Código Malicioso
Além do que já foi mencionado, Kafeine disse também que, pouco depois, ele publicou uma postagem em seu blog, que os atacantes mais uma vez começarem a desenvolver o malware "to disk", e o proxy reverso foi colocado "in front" no que se refere ao servidor de comando e controle (C & C). Ontem, os atacantes mais uma vez mudaram as suas táticas para injetar o código malicioso na memória e colocaram um novo proxy reverso no front do C & C. Na sequência dos acontecimentos, o especialista diz que é possível que os atacantes estejam fazendo experiências, hipoteticamente suportadas por uma linha de código usada para a comunicação entre o bot e o C & C.
Campanha de Malvertising Afeta Vários Sites
Na semana passada, a Fox-IT informou que os sites Java.com, TMZ.com, DeviantArt.com, Photobucket.com e vários outros de alto perfil, foram afetados por uma campanha de malvertising que estaria tirando proveito dos serviços da AppNexus, uma empresa especializada em publicidade em tempo real. Além disso, a Fox-IT observou que as vítimas do ataque foram redirecionados para um site de hospedagem com ações de phishing. Kafeine disse ainda que a variante analisada foi visto na campanha de malvertising da AppNexus.
Ainda de acordo com declarações de Kafeine, ainda não há conhecimento sobre este novo método; não há certeza se ele já tornou-se completamente popular e começaram a aparecer outros kit exploit. No entanto, isso não eleva o nível dificuldade para que os analistas de segurança possam identificar e processar esses payloads, acrescentou. E com a finalidade de ser capaz de compartilhar amostras que podem ser estudadas, seria preciso extraí-las da memória, utilizando ferramentas específicas ou, diretamente, tentar decodificar os bytes, algo que pode ser mais difícil, uma vez que os cybercriminosos poderiam passar a alternar as técnicas de criptografia que utilizam.
De acordo com Segura da Malware Bytes, "até onde vai o processo de detecção, identificamos programas que dependem de técnicas que são completamente ignoradas e esquecidas, no que diz respeito à elementos maliciosos da "whitelisting". Esses tipos de programas são normalmente utilizados em escolas ou bibliotecas, com a intenção de proibir que os usuários coloquem em prática arquivos executáveis não autorizados. E isso, ao que tudo indica, continuará a ser o mesmo jogo de gato e rato, onde os maus têm geralmente um curto espaço de tempo para disponibilizar seu payload, sem ser detectado".
Saiba Mais:
[1] Security Week http://www.securityweek.com/malware-...oit-kit-attack