[:pb]A Unit 42, unidade de pesquisa da Palo Alto Networks, identificou uma campanha de malspam (spam malicioso) especialmente desenvolvida para afetar vítimas brasileiras. Usando boletos falsos para distribuir malware, criminosos podem roubar dados dos computadores das vítimas, incluindo senhas e nomes de usuários.
A campanha chamada de “Boleto Mestre” pela equipe de pesquisa, já distribuiu 261.098 e-mails desde junho de 2017. Estas mensagens continham títulos como “Envio de Boleto – URGENTE” como mostra a figura abaixo.
Na imagem, um hiperlink disfarçado cria conexão entre o computador da vítima e um servidor usado pelos criminosos. Ao clicar, é iniciado o download de um malware do tipo Trojan.
Os hosts com Windows infectados por esta campanha geram tráfego de texto simples em IRC (protocolo de comunicação utilizado para chats, bate-papo, e troca de arquivo). Todos os hosts infectados então se juntam ao canal #MESTRE. Esse tipo de tráfego IRC é único, nunca visto antes para campanhas de malspam baseadas no Brasil. Por este motivo, a Unit 42 está chamando a campanha de “Boleto Mestre”.
Campanha de spam usa boletos falsos para infectar PCs de brasileiros com malware
Como funciona a infecção:
1. A vítima clica em um link do e-mail ou arquivo PDF anexado, que retorna um arquivo VBS infectado.
2. Na sequência, clica duas vezes no arquivo VBS (Visual Basic).
3. Mais arquivos são baixados para o host Windows infectado.
4. Tráfego de check-in inicial com link comprometido www.petr4 [.] In.
5. O host infectado começa a se comunicar através do IRC com a máquina do criminoso.
Antes de 16 de junho de 2017, o malspam Boleto Mestre tinha links no texto da mensagem de e-mail para um arquivo VBS publicado em outro lugar. No entanto, após esta data, esses e-mails mal-intencionados, passaram a incluir também anexos PDF, bem como os links, visando criar um ataque redundante.
Estes anexos PDF não têm exploits (malware em si), eles incluem um link com a mensagem “Ocorreu um erro inesperado. Clique para abrir o arquivo PDF“, como o link no corpo do e-mail que direciona para uma URL que devolve o arquivo VBS. Porém, a URL do PDF é diferente da do texto do e-mail, demonstrando o esquema de redundância para aumentar as chances de infecção do computador da vítima:
Ao clicar no link no texto da mensagem ou no do anexo PDF, o mesmo arquivo VBS é baixado. Nesse caso, os links de e-mail e PDF são redirecionados para um URL no sendpace [.] com. O Sendspace é um serviço legítimo que permite às pessoas compartilhar arquivos na web.
Criminosos por trás da campanha “Boleto Mestre” usaram outros serviços de compartilhamento de arquivos, como Google Drive e 4shared, mas eles tendem a usar mais o Sendspace.
A URL do e-mail ou do anexo de PDF possui localização específica, ou seja, os servidores que hospedam o malware não retornam nada a menos que a vítima venha de um endereço IP no Brasil.
O host infectado
A Unit 42 mostra como é um host Windows infectado. A máquina usada pela equipe de pesquisa da Palo Alto Networks para analisar este ataque possuía vários arquivos comprometidos em diferentes pastas. Muitos desses arquivos não são inerentemente maliciosos. Os arquivos executáveis e DLL baixados eram binários legítimos.
Veja nas figuras abaixo o que foi encontrado em um host infectado executando o Windows 7 SP1:
A infecção foi mantida persistente através de uma tarefa agendada para o arquivo VBS. O arquivo VBS lê um valor da chave de registro do Windows que executa “SYSMONTICELLOPC60.exe”, que é realmente uma cópia do “PowerShell.exe”, uma ferramenta legítima de administrador do sistema é usada para esta infecção.
Conclusão
A combinação desta campanha de valores de registro do Windows, arquivos VBS e binários legítimos compõem uma técnica de evasão efetiva. A Unit 42 usou uma máquina com configurações padrão do Windows 10, com todas as definições do Windows Defender (software de proteção padrão da Microsoft) atualizadas, e o malware obteve sucesso ao infectar o sistema.
Para acessar o relatório completo (em inglês), os nomes dos arquivos, domínios, URLs, hashes e outras informações, clique aqui.
via Baboo[:]