Pesquisadores de segurança identificaram recentemente várias campanhas massivas de phishing visando usuários brasileiros de internet banking, por meio de Cavalos de Troia. Ao longo dos estágios destas campanhas, que os especialistas deram o nome de “Metamorfo”, foram observadas inúmeras táticas e técnicas que buscam evitar a detecção e fornecer a carga maliciosa.
Os especialistas explicam como funcionam as duas principais campanhas, que buscam se aproveitar principalmente do desconhecimento das vítimas e as levam a executar arquivos maliciosos, pensando se tratar de softwares de segurança de bancos, faturas ou comprovantes de transferência eletrônica.
Metamorfo #1
A campanha tem início com um e-mail que contém um simples anexo HTML. Neste anexo, uma atualização utiliza uma URL encurtada como destino. Assim que uma vítima clica no anexo, é automaticamente redirecionada para um site legítimo de armazenamento na nuvem, como o Google Drive ou o Dropbox, o que traz maior credibilidade ao processo.
No site de armazenamento, um arquivo no formato ZIP abrange quatro documentos maliciosos, um deles com uma nova aplicação de HTML incorporada (HTA). O usuário precisa descompactar o arquivo e clicar duas vezes neste documento executável para que a cadeia de infecção continue. Ao clicar estas duas vezes no documento, o arquivo malicioso é extraído sem que a vítima saiba.
Uma das principais características da campanha é a persistência, adicionando uma chave de registro na mesma pasta “Administrador”, extraindo documentos, renomeando arquivos e até criando uma nova chave persistente. Caso a vítima apenas delete estes documentos, é importante ressaltar que o malware tem a capacidade de recriar toda a cadeia e fazer o download do mesmo arquivo ZIP.
Com o Cavalo de Troia inserido, softwares de segurança e firewall podem ser impedidos. Uma análise dos programas em execução da vítima é feita rapidamente. O ciberatacante pode até visualizar a tela da vítima e tirar screenshots, por exemplo. Logo depois, traça uma rápida comparação com uma lista de sites de instituições financeiras brasileiras ou de moedas digitais. Caso a vítima esteja utilizando um destes sites no momento, o Trojan derruba o servidor.
Metamorfo #2
A segunda campanha é muito parecida, apesar de mais avançada. Também é iniciada por e-mails, muitas vezes o phishing, que possuem links redirecionando a vítima para domínios legítimos ou comprometidos, por meio de uma URL encurtada como destino. Novamente, o mesmo processo – o usuário é encaminhado para um site de armazenamento, que hospeda um arquivo ZIP com documentos maliciosos.
O malware é capaz de coletar inúmeras informações das vítimas, como a versão, arquitetura e o nome do sistema operacional; antivírus e firewall instalados; lista de possíveis softwares bancários instalados; endereço de IP; entre outras. Também é capaz de alterar o valor da chave de registro.
Assim como o Trojan da primeira campanha, procura por bancos, instituições financeiras e moedas digitais brasileiras. O malware ainda exibe formulários falsos em sites de bancos, para interceptar as credenciais do usuário. Isso traz maior veracidade ao ataque.
Conclusão
Ao longo do quarto trimestre de 2017, a FireEye também observou uma campanha de phishing direcionado, em que o mesmo Cavalo de Troia foi aplicado por meio de um arquivo JAR no anexo do e-mail, ao invés de um HTML. Na execução, o mesmo processo. O código Java baixou um arquivo ZIP de um site de armazenamento na nuvem, também contendo os mesmos quatro documentos e atuando exatamente da mesma forma.
O uso de cadeias de infecção com múltiplos estágios dificulta a produção de estudos sobre as campanhas até o final. O uso da infraestrutura de nuvem pública desempenha um papel particularmente importante na entrega da carga maliciosa. A aplicação de diferentes métodos de infecção faz com que essas campanhas recebam destaque.
Os especialistas da FireEye descobriram que mais de 5 mil brasileiros foram vítimas desde o fim de março. Os usuários devem sempre desconfiar de e-mails inesperados, ainda mais com anexos incluídos – mesmo que tenham sido enviados, aparentemente, por algum de seus contatos.
Acesse o estudo completo sobre as campanhas de malware que visam usuários brasileiros de internet banking no site da FireEye.