A Unit 42, equipe de pesquisa da Palo Alto Networks, identificou uma mudança no comportamento de um grupo de criminosos virtuais que visavam usuários do navegador Google Chrome. Esses ataques incluíam engenharia social para distribuir um malware.
Nos últimos meses, a campanha criminosa chamada de EITest estava fazendo a distribuição desses rasomwares como o Spora e o Mole. Entretanto, no final de agosto, alteraram seu modo de operação para outro tipo de ameaça. Recentes amostras indicam a infecção de servidores Windows com NetSupport Manager, ferramenta de acesso remoto (na sigla em inglês RAT – Remote Acess Tool).
Este movimento é significativo porque indica uma mudança potencial nos motivos desse adversário. A equipe da Unit 42 analisou a fundo como estão operando os agentes maliciosos por trás do EITest utilizando “HoeflerText popups”, uma técnica para ludibriar as vítimas a instalar malware em suas máquinas.
O grupo invade páginas selecionadas web por meio de engenharia social, na qual é feita uma pesquisa dos costumes da vítima – que sites visita, quando e por qual navegador. Ao entrar em um website comprometido, o alvo do ataque recebe uma mensagem.
Após clicar em “update”, outra mensagem aparece direcionando a vítima para baixar o arquivo “Font_Chrome.exe”, este sendo o malware para tomar controle da máquina.
Histórico
Em dezembro de 2016, a campanha EITest começou a usar pop-ups HoeflerText para distribuir malwares. Desde o final de janeiro de 2017, a Palo Alto Networks registrou ransomware nestes pop-ups. O método desapareceu por semanas, mas em julho de 2017, os pop-ups HoeflerText começaram a enviar o ransonware Mole no arquivo Font_Chrome.exe. Estes pop-ups pararam no final do mesmo mês. Entretanto, em agosto de 2017, reapareceram e vimos um malware de tipo diferente enviado sob o mesmo nome de arquivo. Amostras recentes analisadas pela Unit 42 não são de ransomware, são downloaders de arquivos.
Atividade recente
O tráfego de rede segue dois caminhos distintos. As vítimas que usam o Microsoft Internet Explorer como seu navegador web receberão um alerta antivírus falso com um número de telefone para uma fraude de suporte técnico. As vítimas que usam o Google Chrome como seu navegador obterão um pop-up HoeflerText, que oferece malware disfarçado como Font_Chrome.exe.
As amostras atuais de Font_Chrome.exe são os que baixam estes arquivos. Eles recuperam o malware que instala uma ferramenta de acesso remoto do NetSupport Manager (RAT). O NetSupport Manager é um RAT comercialmente disponível anteriormente associado a uma campanha de malware de contas de Steam pirateadas no ano passado. Para os pop-ups HoeflerText de agosto de 2017, encontramos dois exemplos de aplicativos que baixam esses arquivos e dois exemplos de malware de acompanhamento para instalar o RAT NetSupport Manager em sua versão 11.00 (a atual é a 12.5).
Portanto a vítima entra no site comprometido, baixa inadvertidamente o malware embutido no arquivo Font_Chrome.exe, que instala o RAT e dá controle ao criminoso da máquina da vítima com a possibilidades muito maiores do que os antigos ransomware, podendo inclusive acessar arquivos, roubar credenciais, iniciar uma movimentação pela rede, entre outras atividades criminosas.
Conclusão
A Unit 42 recomenda que os usuários tenham cuidado com esta ameaça e suspeitem de mensagens pop-up no Chrome que com o texto ““HoeflerText” font wasn’t found”. Como o arquivo é um RAT, usuários infectados podem não notar nenhuma mudança no uso rotineiro de seu computador. Se o NetSupport Manager estiver relacionado no host do Windows, é muito provável que isso indique um comprometimento da máquina.
Ainda não foi determinado por que os pop-ups EITest HoeflerText mudaram de enviar ransomware para utilizar uma RAT. O ransomware ainda é uma séria ameaça e continua a ser a maior categoria de malware detectada diariamente pela Palo Alto Networks em campanhas de distribuição em massa. No entanto, também percebemos uma quantidade crescente de outras formas de malware em campanhas recentes, especialmente em comparação com 2016. As RATs oferecem aos invasores mais recursos em um host e geralmente são muito mais flexíveis do que o malware projetado para um único propósito. A mudança de comportamento em agosto dos pop-ups EITest HoeflerText representa algo sutil, mostrando que ransomware está um pouco menos proeminente do que antes.