Cadeia de Infecção do Malware
Neste ataque, um pesquisador da Trend Micro observou a ocorrência de um surto de mensagens de spam, sendo todos eles relacionados com a fraude Automated Clearing House (ACH). ACH é uma rede utilizada para transferências eletrônicas de fundos oriunda dos Estados Unidos; como resultado, é frequentemente utilizada por empresas que necessitam realizar transações com outras empresas, em uma base regular. A fraude ACH é um "hook" cybercriminoso típico, que pode ser visto em e-mails de spam. Ao invés de anexos, a mensagem dessa vez disponibiliza um link para "ver todos os detalhes." Outros modelos utilizados para estes e-mails de spam enviados, envolvem mensagens sobre recebimento de fax, encomendas, declarações na fatura, além de detalhes de faturamento e transferências bancárias. Ao passar o mouse sobre o URL, é possível ver que ele redireciona para um link do serviço de armazenamento Dropbox, com um nome de arquivo relacionado à suposta transação ACH. A URL leva a uma página do Dropbox que contém instruções específicas (e quase convincentes), com um aviso Microsoft Office que instrui os usuários a habilitar as macros.
Possível Habilitação do Macro e Download de Malware Bancário
No contexto da investida maliciosa, o documento malicioso é detectado como W2KM_BARTALEX.SMA. Assim como descreve esta publicação, mais de mil links para o Dropbox em situações semelhantes foram encontrados com as mesmas rotinas. Após permitir que o macro seja habilitado, o documento malicioso então aciona o download do malware bancário TSPY_DYRE.YUYCC. Esta variante Dyre tem como alvo bancos e instituições financeiras nos Estados Unidos, entre os quais estão JP Morgan, US Bank, Califórnia Bank & Trust, Texas Capital Bank, etc. Com base no feedback do Smart Protection Network, os Estados Unidos desponta como o principal país afetado pelas atividades do malware BARTALEX no contexto global, seguido pelo Canadá e Austrália. Além disso, também foi possível notar que este ataque utilizou um antigo logotipo do Microsoft Office 2010. E levando em conta que muitas empresas não atualizam seus programas imediatamente para as versões mais recentes do Office, é possível que os usuários dentro das organizações empresariais possam sim, ser vítimas desta técnica.
Evolução nas Técnicas de Infecção do Malware
Em janeiro deste ano de 2015, os pesquisadores da Trend Micro publicaram um artigo sobre a melhoria das técnicas de infecção provenientes do trojan Dyre. Estas técnicas envolvem hijack relacionado ao Microsoft Outlook para espalhar o trojan UPATRE, o que inevitavelmente levava ao download do tão conhecido e perigoso trojan ZeuS e favorecia práticas de ransomware.
Dropbox não é Alvo Novo de Atividades Maliciosas
Esta não é a primeira vez que o Dropbox foi relacionado com envolvimento em atividades maliciosas. O serviço de armazenamento Dropbox e outros serviços similares baseados em nuvem, são conhecidos por hospedar malware e servidores cybercriminosos de C & C (comando e controle), mas esta é a primeira vez que está sendo presenciada uma situação em que Dropbox é usado para hospedar malwares macro-based, e isso está aumentando rapidamente apesar de ser uma coisa do passado. Por causa disso, a Trend Micro já entrou em contato com Dropbox sobre os mais de mil links hospedados em seu site.
Ameaças Antigas Ainda são Vetores de Infecção com Eficácia
Malwares macro-based como é o caso do BARTALEX são tipos de praga aparentemente mais relevantes do que nunca, o que é um indicador de que as ameaças antigas ainda são vetores de infecção eficazes sobre os sistemas de hoje. E eles parecem estar se adaptando: agora, estão sendo hospedados em serviços legítimos como o Dropbox, e com o recente surto, os malware macro-based podem continuar a ameaçar mais negócios no futuro. Portanto, já que os malware macro-based estão dirigindo-se para as empresas (pequenas e médias empresas), o ajuste dessa questão envolve reavaliar e rever as políticas de segurança existentes. Também é aconselhável diminuir a área da superfície de ataque, fazendo com que os sistemas da corporação tenham as medidas de segurança necessárias: por exemplo, pode ser interessante desativar o Windows Scripting Host nos sistemas dos usuários se ele não tiver nenhuma serventia substancial. Por último, a educação do usuário é uma etapa que irá percorrer um longo caminho na defesa contra esses tipos de ameaças, em particular, aqueles que exploram o erro humano, como por exemplo, permitindo que os macros maliciosos sejam habilitados a partir de documentos do Word.
Os hashes dos arquivos detectados como W2KM_BARTALEX.SMA são:
61a7cc6ed45657fa1330e922aea33254b189ef61
6f252485dee0b854f72cc8b64601f6f19d01c02c
85e10382b06801770a4477505ed5d8c75fb37135
O hash dos arquivos detectados como TSPY_DYRE.YUYCC é:
5e392950fa295a98219e1fc9cce7a7048792845e
Os hashes dos documentos maliciosos do Microsoft Office são:
0163fbb29c18e3d358ec5d5a5e4eb3c93f19a961
02358bcc501793454a6613f96e8f8210b2a27b88
05fe7c71ae5d902bb9ef4d4e43e3ddd1e45f6d0c
11d6e9bf38553900939ea100be70be95d094248b
19aed57e1d211764618adc2399296d8b01d04d19
559a03a549acc497b8ec57790969bd980d7190f4
c0ca5686219e336171016a8c73b81be856e47bbc
d047decf0179a79fd4de03f0d154f4a2f9d18da4
d3bf440f3c4e63b9c7165c1295c11f71f60b5f8c
ec7a2e7c1dce4a37da99a8f20a5d4674f5c80a1f
Ascensão do Malware Bancário
Devido a crescente utilização dos serviços de Internet Banking, o número de computadores infectados por trojans bancários também tem aumentado. Entre 2012 e 2013, foram quase 1,5 milhão de computadores infectados pelo trojan Zeus, um dos mais perigosos trojans do ramo em questão. Esse tipo de vírus geralmente é enviado por e-mails falsos que imitam os e-mails enviados por alguns bancos e outras instituições financeiras, conseguindo, assim, a atenção do usuário e aproveitando-se de vulnerabilidades no Windows para instalar-se no computador da vítima. E depois de instalado, como a maioria das pessoas sabe, o malware tem acesso a várias funções do computador onde se encontra, incluindo o teclado virtual, tanto ao que já existe por padrão no Windows e como também o que é oferecido por sites de banco com a intenção de melhorar a sua segurança, sendo capaz de ignorar totalmente esse método de proteção. Portanto, um dos métodos usados pelos cybercriminosos para ter acesso a senha bancária das pessoas é através do monitoramento de teclado virtual, porque o malware registra tudo que o usuário digita no teclado, conseguindo o acesso às informações confidenciais como senhas e outras combinações de teclas digitas. Eles também fazem a captura de imagens da tela do computador, devido às imagens serem salvas no computador, em uma pasta a qual o criminoso tem acesso de forma remota, ou ainda sendo enviadas diretamente para uma conta e-mail onde os dados são armazenados.
Direcionamento para Sites Disfarçados de Página Legítimas
O redirecionamento para sites fraudulentos pode ocorrer quando o usuário vai ao site que procura, já que o programa reconfigura arquivos responsáveis pela navegação. Os sites são muito parecidos com os sites originais, mas as informações digitadas neles são enviadas para o desenvolvedor do trojan. Além disso, os cybercriminosos também tem a habilidade de anular os teclados virtuais, impedindo assim que os mesmos funcionem. A partir do momento em que eles anulam o sistema para a introdução de dados de forma segura em teclados virtuais, os cybercriminosos recolhem todas as informações que as vítimas digitam através do sistema. Na sequência, ele fazem o controle de conexões do browser das vítimas, o que garante que os atacantes possam obter os dados da conta que o usuário digita no site do banco do qual é cliente, além de poder modificar o conteúdo da página para solicitar informações confidenciais, como por exemplo pedir o número do cartão bancário, senha de acesso, dentre outros dados.
Vale ressaltar que o Brasil, até o final do ano de 2014, registrou uma crescente ocorrência de programas nefastos usados por criminosos com a intenção de roubar dados bancários a partir de computadores. Um relatório da Trend Micro apontou que o país é, ao lado do Vietnã, o segundo maior em incidência desse tipo de ataque. Esses dois países só perderamm para os Estados Unidos. A empresa também observou que o Japão foi um país fortemente afetado por esse tipo de ataque, mas a implantação de novos mecanismos de segurança pelos bancos atenuou o problema e conseguiu mitigar consideravelmente a ação dos atacantes.
Saiba Mais:
[1] Blog Security Intelligence http://blog.trendmicro.com/trendlabs...spam-outbreak/