Hackers usam WMIC para fazer download de arquivos maliciosos

Esse modelo é benéfico para os agressores porque os ajuda a permanecer indetectáveis, além de fornece uma ferramenta poderosa para ajudar em suas atividades.

Compartilhar:

Recentemente a Symantec observou que autores de malware usando uma combinação de uma ferramenta encontrada em todos os computadores Windows e um tipo de arquivo geralmente inócuo associado à modificação e à renderização de documentos XML. Embora ambas – o utilitário de linha de comando da instrumentação de Gerenciamento do Windows (WMIC) e um arquivo de linguagem XSL (linguagem de folha de estilo extensível) – normalmente não levantem suspeitas quando encontradas em um computador, neste caso são usadas como parte de uma cadeia de infecção em múltiplas etapas que transmite uma ameaça modular de roubo de informações.

 

O uso do WMI por parte dos criminosos cibernéticos não é novidade, mas apesar da ferramenta geralmente ser usada para propagação, neste caso ela é usada para o download de um arquivo malicioso. Esse modelo é benéfico para os agressores porque os ajuda a permanecer indetectáveis, além de fornece uma ferramenta poderosa para ajudar em suas atividades.

 

É possível comparar o WMIC com o PowerShell, outra ferramenta legítima que também é encontrada em sistemas Windows e é que cada vez mais explorada por criminosos cibernéticos. A popularidade do PowerShell entre os criminosos foi destacada quando a Symantec detectou um aumento de 661% em atividades maliciosas com PowerShell entre o 2º semestre de 2017 e o 1º de 2018.

 

Esse uso do WMIC, assim como várias ferramentas legítimas de uso duplo, que são aproveitadas em ataques, é mais uma das evidências constantes de que os criminosos cibernéticos usam as chamadas táticas de “usar o que está à mão” para reduzir as chances de suas atividades serem detectadas.

 

Para bloquear este tipo de ataque é preciso contar com ferramentas pelas proteções baseadas em arquivos, comportamento e rede, e machine learning, por exemplo.

 

Fugindo do radar

 

Os autores de malware estão sempre tentando agir longe do radar dos produtos de segurança. As técnicas de ataque evoluem e eles constantemente criam formas novas de inserir malware em computadores. Por exemplo, eles podem aplicar um conteúdo criptografado e descriptografá-lo na memória para tentar burlar detecções de segurança. Ou, ao invés de fazer o download direto e executar o conteúdo, podem usar arquivos não executáveis para transmitir seu malware. Outra opção é tentar explorar ferramentas da Microsoft para fazer o download de conteúdos.

 

Passo a passo

 

A cadeia de ataque começa com a chegada de um arquivo de atalho (.lnk) entregue por meio de um URL, como um link em um e-mail, ou enviado como anexo de e-mail. Quando o destinatário clica no arquivo, começa a próxima etapa do ataque.

O arquivo de atalho contém um comando do WMIC para fazer o download de um arquivo de um servidor remoto.
O arquivo de download é um arquivo XSL malicioso.

O arquivo XSL contém código JavaScript que é executado usando o arquivo mshta.exe, outra ferramenta legítima que é explorada com frequência pelos criminosos cibernéticos.

O código JavaScript contém uma lista de 52 domínios, cada um designado com um número de identificação de 1 a 52. O código contém uma função para gerar aleatoriamente um número entre 1 e 52, para escolher um domínio aleatório da lista. Para gerar um URL único, o JavaScript gera um número aleatório, além de um número de porta aleatório entre 25010 e 25099, e os acrescenta ao domínio para criar um URL de download.

O URL é usado para fazer o download de um arquivo de aplicativo HTML (HTA).

 

O arquivo HTA também contém a função randômica, que é usada da mesma forma para selecionar domínios aleatoriamente e gerar URLs dinâmicos, usados para fazer o download de mais alguns arquivos.

Esses arquivos incluem três arquivos DLL, que então são registrados usando o utilitário de linha de comando legítimo do Windows regsvr32.exe, além do conteúdo principal da ameaça. Os DLLs são executáveis Delphi compilados.

O script HTA executa um dos DLLs (hwasrhela64196155383.dll) com o RegSvr32.exe. O importante aqui é que esse DLL não contém nenhuma exportação, portanto pode ser usado diretamente como executável. Depois que hwasrhela64196155383.dll é executado, ele carrega outro DLL (%PerfilDeUsuário%\tempwj\hwasrhela98.dll para sistemas de 32 bits ou %PerfilDeUsuário%\tempwj\hwasrhela64.dll para sistemas de 64 bits). Esse DLL contém uma única exportação chamada BTMEMO, que é usada para descriptografar e carregar arquivos DLL.

O conteúdo principal é um malware de roubo de informações com vários módulos criptografados por XOR de vários bits. Todos os módulos são baixados com URLs gerados pelo arquivo HTA. Os módulos têm uma extensão .jpg ou .gif.

Módulos do conteúdo:

 

Ladrão de senhas de e-mail – o malware usa o utilitário MailPassview para capturar senhas de contas de e-mail.

 

Ladrão de senhas de navegador da web – o malware usa o WebBrowser Passview para roubar senhas armazenadas em navegadores da web.

 

Keylogger – o malware usa o gancho de teclado global WindowsKeyboardhook para capturar pressionamentos de tecla e gravar todos eles em um arquivo criptografado. Ele também registra o conteúdo da área de transferência e os títulos das janelas ativas.

 

O keylogger exige que o layout do teclado esteja definido para o idioma japonês para poder capturar pressionamentos de tecla. Ele confere se o valor do tipo de layout do teclado é 0x7 (teclado japonês). Se o valor não corresponder a isso, o malware não vai capturar pressionamentos de tecla.

 

O keylogger não consegue se conectar aos servidores de comando e controle (C&C) por conta própria – ele precisa do módulo de rede para transferir as informações roubadas aos servidores dos agressores.

 

Rede/phishing – o malware usa o módulo de phishing e usa o endereço http://renivaxx01.gettrails[PONTO]com/01/ para o phishing.

 

Os três módulos restantes – Navegador de arquivos, Backdoor, Minerador – são comuns e seus recursos são exatamente o que seus nomes sugerem.

 

Conteúdos Relacionados

Security Report | Overview

Google, Facebook e Amazon são as marcas mais usadas em roubos de credenciais, diz relatório

Kaspersky aponta aumento de ataques de phishing a grandes marcas e a causa pode estar na sofisticação e agressividade de...
Security Report | Overview

Febraban alerta para golpes mais aplicados nas compras de Natal

Cliente deve redobrar cuidados ao fazer compras no e-commerce e com seu cartão nas lojas de rua de grandes centros...
Security Report | Overview

Bloqueio de fraudes na Black Friday crescem 270% em 2024

Novo dado foi divulgado pela Visa recentemente. Já na Cyber Monday, a empresa afirma ter bloqueado 85% a mais de...
Security Report | Overview

Como o cenário de malwares evoluiu na América Latina em 2024?

A evolução dos malwares focados na América Latina em 2024 destaca a adaptabilidade e a engenhosidade de seus desenvolvedores, que...