O anexo é realmente um arquivo executável (um arquivo .exe). E uma vez que ele é iniciado, o malware verifica primeiro o endereço IP público da vítima, solicitando-o a partir de checkip.dyndns. Usando o IP e outras informações do computador da vítima (nome do computador, a versão do Windows utilizada e serviço de número pack), um número de identificação único é calculada e, em seguida, enviado para o servidor de comando e controle do Waski (C & C).
Rede Cybercriminosa Responsável pelo Trojan Downloader Upatre
Após um processo de infecção bem sucedido, o trojan Upatre passou a ser responsável pelo download de payloads maliciosos de famílias de malware conhecidas, tais como: Zeus (Zbot) que é um dos mais conhecidos e perigosos trojans bancários, o bootkit Rovnix Bota Volume Record (VBR) e o trojan bancário Dyreza (Dyre). A família de malware Upatre foi descoberta pela primeira vez em agosto de 2013, e aumentou exponencialmente suas taxas de infecção em outubro de 2013. Com o desaparecimento do popular Kit Exploit "Blackhole", no mês de outubro de 2013, muitos desenvolvedores de malware recorreram ao spam tradicional com o trojan downloader Upatre como um meio para entrega do payload final, o que também contribuiu muito para o aumento de infecções. Os criadores do malware Upatre implantaram várias e novas técnicas em relação ao ano passado, o que é a razão pela qual ele é uma das famílias de malware mais frequentes nos dias de hoje. Algumas das características que tem sido rastreadas incluem: Senhas anexas protegidas - Isso faz com que os e-mails enviados pareçam mais legítimos e confidenciais; Spam como um anexo dentro de um anexo: as mensagens de spam de e-mail continham outra mensagem de e-mail (*.msg, *.eml) como um anexo que contém o arquivo real Upatre; Mensagens de e-mail contendo uma URL que aponta para o payload original; Bytes de cabeçalho randomizados e downloads de malware criptografados para evitar a detecção; O uso de criptografia SSL para comunicação (C2) com o servidor de Comando e Controle e subsequentes downloads de malware, além de Ataques recentes que foram detectados e identificados.
Ataques Desencadeados por Upatre
A área de segurança tem visto um aumento no número de infecções do trojan downloader Upatre, que ocorrem por meio de mensagens de spam enviadas contendo faturas falsas ou mensagens de correio de voz. O payload final que está sendo baixado a partir dessas infecções recentes do Upatre tende a ser o também perigoso trojan banking Dyreza, cuja variante, Dyre, não é menos ardilosa e nociva que seu mestre.
Cutwail Spam E-mail Levando a Upatre
Se o usuário clicar no link que consta no e-mail, eles serão redirecionados para o mesmo site com informações adicionais que identificam o sistema operacional na URI antes de disponibilizar o payload útil, como pode ser visto aqui: GET /documents/invoice_101114_pdf.php?h=[3 digit integer]&w=[4 digit integer]&ua=[User-Agent String]&e=1 HTTP/1.1
Ao usuário, então, será solicitado que ele faça um download de um arquivo compactado, que contém uma nova variante do Trojan downloader Upatre. Quando se trata de executável Upatre com ícone em formato PDF, o ciclo de infecção começa quando o usuário abre o arquivo executável fechado. Ele faz uma cópia de si mesmo como "%Temp%\pvavq.exe" e o executa. O processo de "pvavq.exe" recém-lançado, então exclui o "invoice10-11-14_pdf.exe" original executável. Nesta sequência, ele se conecta a um servidor remoto C2 pela porta TCP 40007 para relatar a infecção, e fornecer informações sobre o mês e o ano binário (spammed), nome do computador da vítima, informações do sistema operacional, etc.
Comunicação de Rede do Trojan Upatre
No contexto das funcionalidades e do comportamento do trojan Upatre, podem haver atividades do trojan bancário Dyreza em uma forma criptografada como "%Temp%\ utt214.tmp" na máquina da vítima para evitar a detecção de rede. Em seguida, ele decifra o payload baixado como "%Temp%\ EXE1.exe" e passa a executá-lo. Isto irá iniciar o ciclo de infecção do trojan bancário Dyreza. O trojan Dyreza tem a capacidade de criptografar e decriptografar payloads: essa variante usa uma chave incremental XOR de 4 bytes na rotina de decriptografia, em oposição à chave codificada que foi vista antes.
Conclusão Sobre Trojan Upatre
A família do Trojan Upatre continua a evoluir, além de ser uma das famílias de malware mais prevalentes no presente. Ele continua a adicionar novos malwares para alavancar as atividades dos criminosos cibernéticos que o movimentam, servindo como um vetor para download e instalação de payloads adicionais da família de malware.
Saiba Mais:
[1] Net Security http://www.net-security.org/malware_news.php?id=3011