X-Labs
Março 26, 2020

Cibercriminosos adaptam golpes baseados em malwares à realidade atual

Robert Neumann Senior Security Researcher
Mate Balatoni Security Researcher
Malware Authors and Scammers Adapt to Current Events with Phishing and More

Os cibercriminosos são caracterizados por serem oportunistas que evoluem continuamente seus métodos de ataque. A história nos mostrou que quanto maior a visibilidade global de uma oportunidade de ataque cibernético, seja ele eleições governamentais, feriados, celebrações religiosas ou eventos mundiais como os que vemos hoje, os golpistas empregam todas as ferramentas a seu alcance para atacar e aproveitar ao máximo todas as oportunidades.

Segundo a Organização Mundial da Saúde, os ataques por e-mail que se apresentam como OMS dobraram desde o início de março. Este é apenas um dos muitos exemplos de ataques cibernéticos atuais em que os cibercriminosos fingem ser uma organização global confiável, enquanto todo o mundo tenta seguir em frente durante esses tempos sem precedentes.

Aproveitando ao máximo os eventos globais, hoje observamos tendências de invasores cibernéticos que se inclinam para a engenharia social e usam palavras-chave que estão na boca de todos, como Coronavirus e COVID-19, para executar golpes on-line, ataques de phishing e malware.

Abaixo está uma visão geral das recentes tendências globais de ataques cibernéticos que a Forcepoint tem seguido para dar aos usuários uma idéia do que procurar e como se proteger contra ataques cibernéticos iminentes, aproveitando a atual situação global.

Phishing padrão

As campanhas relacionadas a phishing têm um objetivo principal: induzir as pessoas a inserir seus dados pessoais ou credenciais valiosas em um aplicativo falso ou em um site que pareça "legítimo". Nosso primeiro caso em análise pretende ser uma chamada perdida sobre uma atualização do COVID-19. O email não contém texto no corpo da mensagem, mas um anexo com uma extensão ".htm".

Figure 1 – Missed call email example

Em uma análise mais detalhada, o anexo é na verdade um arquivo HTML simples com o único objetivo de direcionar as pessoas para um URL suspeito.

Figure 2 – HTML attachment of the missed call email

O título da janela mostrará "Obtendo seu arquivo de áudio" enquanto a página da web é carregada, e em breve encontraremos um portal falso do Outlook. O nome de usuário já estará completo, apenas a senha está aguardando para ser inserida. Apesar de todas as semelhanças, não estamos lidando com um portal oficial do Outlook, devemos analisar detalhadamente a URL estranha no anexo HTML com o endereço de e-mail preparado. É sempre recomendável verificar a página da web em que estamos antes de inserir qualquer informação confidencial.

Figure 3 – Fake Outlook landing page with pre-filled username

Diferentes tipos de spam tradicional

Especular sobre as superstições e o medo das pessoas não é uma técnica recente, especialmente em épocas como a que estamos passando, um evento global sério, com um impacto de longo alcance nas comunidades ao redor do mundo. Aconselhamento oficial, semioficial e não oficial vem de todas as direções possíveis, junto com uma série de truques.

  • Como fortalecer nosso sistema imunológico?
  • Que medidas devemos tomar para prevenir a infecção?
  • Quais são as formas naturais de nos proteger?
  • Quais são as melhores máscaras para usar quando você viaja?

Figure 4 – Example of Coronavirus related spam

A maioria dessas perguntas é válida, porém as respostas podem variar bastante e é fácil prestar atenção às informações e conselhos. Algumas das recentes campanhas de spam se concentram particularmente nessa técnica. Eles contêm links para sites e serviços falsos ou incentivam as pessoas a comprar um produto específico que deve ajudar a proteger contra o Coronavírus ou o COVID-19.

Figure 5 – Face mask advertisement spam

Se você não tiver certeza, procure produtos semelhantes de marcas respeitáveis e em sites nos quais eles foram comprados anteriormente. Busque informações através de fontes oficiais de saúde, como a OMS ou os Centros de Controle e Prevenção de Doenças. Dessa maneira, o que é real e o que pode ser prejudicial à saúde pode ser creditado ou desacreditado.

Figure 6 – Example of Health Improvement spam

Nova versão para famílias de malware existentes

Os exemplos acima são do tipo que gera o menor dano. Embora esse tipo de ataque possa parecer o mais autêntico, ele leva o potencial de dano a um nível superior. O e-mail foi endereçado a pessoas na Itália, supostamente durante o período em que os casos relatados no país continuaram a aumentar. Ele incentiva o usuário a abrir o documento em anexo que parece ter sido enviado pela OMS com informações que os convidam a tomar todas as precauções necessárias contra a infecção por Coronavírus.

Figure 7 –fake WHO precautions email targeted towards Italians

Ao abrir o anexo do Microsoft Word, a seguinte tela foi exibida, solicitando aos usuários que sigam as etapas para habilitar as macros, a menos que as configurações de segurança padrão relacionadas a elas tenham sido alteradas.

Figure 8 – Malicious Word attachment asking for macros to be enabled

Existem várias macros no documento e elas também são protegidas por senha para impedir a edição. Felizmente, isso pode ser corrigido, então vamos dar uma olhada na famosa abertura automática.

Figure 9 – Content of the autoopen macro

Há o " Debug Class Handler" definido na macro de abertura automática que será executada automaticamente ao abrir o documento. Uma investigação mais aprofundada revela rapidamente o download de dois arquivos: "errorfix.bat" e "Ranlsojf.jse". O primeiro é um arquivo em lotes padrão destinado a abrir o segundo com a ajuda do interpretador de script interno do Windows.

Figure 10 – Source code of DebugClassHandler

Como esperado, o "Ranlsojf.jse" baixado é na verdade um arquivo de script, JavaScript realmente complexo e muito ofuscado. É geralmente conhecida como a família de downloads do Ostap, conhecida por seus fortes laços com o TrickBot.

Figure 11 – Part of Ostap’s obfuscated JavaScript code

No final da execução, o código JavaScript alcançará um servidor C2 predefinido para baixar arquivos mais úteis. Nesse caso, era uma variável do malware TrickBot infostealer.

Conclusão

Sob um período prolongado de estresse, como uma pandemia global, a ansiedade e o desespero podem facilmente nos fazer baixar a guardas quando se trata de ameaças online. Os cibercriminosos exploram esses momentos jogando com medo, na esperança de que possamos cair em seus golpes cuidadosamente criados. Sempre que os e-mails relacionados a eventos da vida real são recebidos, devemos permanecer vigilantes e dedicar algum tempo para considerar sua autenticidade.

As ferramentas, técnicas e procedimentos do invasor permanecem praticamente os mesmos; apenas o tema da atração foi alterado para se alinhar aos eventos atuais. Se mantidas atualizadas, suas ferramentas de segurança da Web e de e-mail devem permanecer eficazes contra essas configurações em um cenário de ameaças.

Declaração de proteção

Os clientes da Forcepoint são protegidos contra essa ameaça nos seguintes estágios de ataque:

  • Etapa 2 (atração): os e-mails maliciosos associados a esses ataques são identificados e bloqueados.
  • Estágio 6 (Call Home): as tentativas de entrar em contato com os servidores de comando e controle são bloqueadas.

IOCs

hxxps://cubanananananana.blob.core.windows[.]net/

hxxp://track.ljmzf[.]com/aff_c?offer_id=9801&aff_id=6258&aff_sub=SW16M

hxxps://offerhub[.]buzz/

hxxp://www.aloofdorm[.]icu/

hxxps://194.87.96[.]100/1/1.php

Robert Neumann

Senior Security Researcher

Robert Neumann is a Senior Security Researcher in Forcepoint X-Labs. He focuses on various short- and long-term research projects, ranging from small scale malicious campaigns through niche malware and file formats to in-depth investigations and threat actor attribution. 
 
Robert is...

Ler mais artigos de Robert Neumann
MB

Mate Balatoni

Security Researcher

Mate Balatoni is a Security Researcher in Forcepoint X-Labs.

Ler mais artigos de Mate Balatoni

Sobre a Forcepoint

A Forcepoint é líder em cibersegurança para proteção de usuários e dados, com a missão de proteger as organizações ao impulsionar o crescimento e a transformação digital. Nossas soluções adaptam-se em tempo real à forma como as pessoas interagem com dados, fornecendo acesso seguro e habilitando os funcionários a criar valor.