:quality(70)/cloudfront-us-east-1.images.arcpublishing.com/metroworldnews/TQS2C2YEOVGSTNSME4B3DUWFYU.jpg)
Fora identificadas recentemente várias tentativas de ataques de hackers, que tentam roubar os dados de usuários brasileiros de internet banking, por meio de Cavalos de Troia (aplicativos ou links maliciosos que invadem seu computador/celular sem serem detectados). Ao longo dos estágios destas campanhas, chamada de «Metamorfo» pelos especialistas da empresa de segurança guiada por inteligência FireEye, foram detectadas algumas táticas e técnicas para evitar a detecção e fornecer a carga maliciosa.
Os especialistas da FireEye explicam como funcionam as duas principais campanhas, que buscam se aproveitar principalmente do desconhecimento das vítimas e as levam a executar arquivos maliciosos, pensando se tratar de softwares de segurança de bancos, faturas ou comprovantes de transferência eletrônica.
Metamorfo #1
A campanha tem início com um email que contém um simples anexo HTML. Neste anexo, uma atualização utiliza uma URL encurtada como o destino final. Assim que uma vítima clica no anexo, é automaticamente redirecionada para um site legítimo de armazenamento na nuvem, como o Google Drive ou o Dropbox, o que traz maior credibilidade ao processo.
Recomendados
Seu Zé mandou avisar os signos de Leão, Virgem, Libra e Escorpião
:quality(70)/cloudfront-us-east-1.images.arcpublishing.com/metroworldnews/RJ6GS2I7AZFXPKKT5KSZCHT2UU.jpg)
Os 5 homens com as piores personalidades dos signos do zodíaco
:quality(70)/cloudfront-us-east-1.images.arcpublishing.com/metroworldnews/4GQ7W64J6JE5BIHDPPD5FWSSFQ.png)
O que são os cortes de cabelo ‘boyish’, a tendência dos 40 e 50 anos que será usada...
:quality(70)/cloudfront-us-east-1.images.arcpublishing.com/metroworldnews/SXMKR5PGPBHGHISL7Z5TNLUKNI.png)
No site de armazenamento, um arquivo no formato ZIP abrange quatro documentos maliciosos, um deles com uma nova aplicação de HTML incorporada (HTA). O usuário precisa descompactar o arquivo e clicar duas vezes neste documento executável para que a cadeia de infecção continue. Ao clicar estas duas vezes no documento, o arquivo malicioso é extraído sem que a vítima saiba.
Uma das principais características da campanha é a persistência, adicionando uma chave de registro na mesma pasta «Administrador», extraindo documentos, renomeando arquivos e até criando uma nova chave persistente. Caso a vítima apenas delete estes documentos, é importante ressaltar que o malware tem a capacidade de recriar toda a cadeia e fazer o download do mesmo arquivo ZIP.
Com o Cavalo de Troia inserido, softwares de segurança e firewall podem ser impedidos. Uma análise dos programas em execução da vítima é feita rapidamente. O ciberatacante pode até visualizar a tela da vítima e tirar screenshots, por exemplo. Logo depois, traça uma rápida comparação com uma lista de sites de instituições financeiras brasileiras ou de moedas digitais. Caso a vítima esteja utilizando um destes sites no momento, o Trojan derruba o servidor.
Metamorfo #2
A segunda campanha é muito parecida, apesar de mais avançada. Também é iniciada por emails, muitas vezes o phishing, que possuem links redirecionando a vítima para domínios legítimos ou comprometidos, por meio de uma URL encurtada como destino. Novamente, o mesmo processo – o usuário é encaminhado para um site de armazenamento, que hospeda um arquivo ZIP com documentos maliciosos.
O malware é capaz de coletar inúmeras informações das vítimas, como a versão, arquitetura e o nome do sistema operacional; antivírus e firewall instalados; lista de possíveis softwares bancários instalados; endereço de IP; entre outras. Também é capaz de alterar o valor da chave de registro.
Assim como o Trojan da primeira campanha, procura por bancos, instituições financeiras e moedas digitais brasileiras. O malware ainda exibe formulários falsos em sites de bancos, para interceptar as credenciais do usuário. Isso traz maior veracidade ao ataque.
Conclusão
Ao longo do quarto trimestre de 2017, a FireEye também observou uma campanha de phishing direcionado, em que o mesmo Cavalo de Troia foi aplicado por meio de um arquivo JAR no anexo do email, ao invés de um HTML. Na execução, o mesmo processo. O código Java baixou um arquivo ZIP de um site de armazenamento na nuvem, também contendo os mesmos quatro documentos e atuando exatamente da mesma forma.
O uso de cadeias de infecção com múltiplos estágios dificulta a produção de estudos sobre as campanhas até o final. O uso da infraestrutura de nuvem pública desempenha um papel particularmente importante na entrega da carga maliciosa. A aplicação de diferentes métodos de infecção faz com que essas campanhas recebam destaque.
Os especialistas da FireEye descobriram que mais de 5 mil brasileiros foram vítimas desde o fim de março. Os usuários devem sempre desconfiar de emails inesperados, ainda mais com anexos incluídos – mesmo que tenham sido enviados, aparentemente, por algum de seus contatos.
O estudo completo das campanhas, feito pelos especialistas da FireEye, pode ser acessado em www.fireeye.com/blog/threat-research/2018/04/metamorfo-campaign-targeting-brazilian-users.html.
