Trojan IcedID reiniciado com novas táticas evasivas
A Juniper identifica campanha de phishing direcionada a clientes empresariais com malware usando proteção por senha, entre outras técnicas, para evitar a detecção.
A Juniper identifica campanha de phishing direcionada a clientes empresariais com malware usando proteção por senha, entre outras técnicas, para evitar a detecção.
Os atores da ameaça aprimoraram um cavalo de Troia bancário que foi amplamente usado durante a pandemia COVID-19 com novas funcionalidades para ajudá-lo a evitar a detecção por vítimas em potencial e proteções de segurança padrão.
Os invasores implementaram vários novos recursos – incluindo um anexo protegido por senha, ofuscação de palavra-chave e código de macro minimalista – em uma campanha recente de phishing usando documentos trojanizados pelo cavalo de Troia amplamente usado IcedID, de acordo com um novo relatório do pesquisador de segurança da Juniper Networks Paul Kimayong.
A campanha, que os pesquisadores descobriram em julho, também usa uma biblioteca de vínculo dinâmico (DLL) – uma biblioteca da Microsoft que contém código e dados que podem ser usados por mais de um programa ao mesmo tempo – como seu downloader de segundo estágio. Isso “mostra” um novo nível de maturidade desse ator de ameaça ”, observou ele.
A versão mais recente do IcedID identificada pela equipe da Juniper está sendo distribuída usando contas de negócios comprometidas em que os destinatários são clientes das mesmas empresas. Isso aumenta a probabilidade de sucesso da campanha, pois o remetente e o destinatário já têm uma relação comercial estabelecida, observou Kimayong.
Os pesquisadores da IBM descobriram o IcedID pela primeira vez em 2017 como um cavalo de Tróia voltado para bancos, provedores de cartão de pagamento, provedores de serviços móveis, folha de pagamento, webmail e sites de e-commerce.
O malware evoluiu ao longo dos anos e já tem um histórico de ofuscação inteligente. Por exemplo, ele ressurgiu durante a campanha COVID-19 com uma nova funcionalidade que usa esteganografia, ou a prática de esconder código dentro de imagens para infectar vítimas furtivamente, bem como outras melhorias.
O relatório de Kimayong detalha um exemplo da nova campanha IcedID e suas táticas evasivas a partir de um acordo da PrepNow.com , uma empresa privada de tutoria estudantil em todo o país que opera em vários estados dos EUA.
Os invasores enviaram e-mails de phishing, que alegam incluir uma fatura, para vítimas em potencial. Eles alegavam ser do departamento de contabilidade, com um arquivo ZIP protegido por senha anexado. Essa proteção por senha permite que o arquivo evite soluções anti-malware, observou ele. A senha é incluída no corpo do e-mail para que as vítimas encontrem e usem para abrir o arquivo.
A campanha é nova na forma como ofusca a palavra “anexado” de várias maneiras no e-mail, escreveu Kimayong. Parece improvável que os invasores façam isso para tentar contornar os filtros de spam ou a detecção de phishing, uma vez que a presença de um anexo é óbvia, observou ele.
“Na verdade, esperávamos que a ofuscação ofuscasse a palavra ‘senha’, porque é um sinal revelador de que algo phishy está acontecendo”, escreveu Kimayong. “Então, novamente, modificar o corpo do e-mail levemente pode alterar alguns hashes difusos que as soluções de segurança de e-mail calculam para identificar campanhas de e-mail em massa.”
A campanha também incluiu um comportamento curioso ao girar o nome do arquivo usado para o anexo dentro do arquivo ZIP, o que parece uma tentativa “fútil” de escapar das proteções de segurança, “uma vez que a proteção por senha deve impedir que a maioria das soluções de segurança abram e inspecionem o conteúdo ”, observou ele.
Não importa, o e-mail não foi bloqueado pela segurança do Gmail do Google, o que parece provar que as táticas de evasão funcionaram, de acordo com o relatório.
Se as vítimas abrirem o anexo, a campanha então lança um ataque em três estágios para liberar o cavalo de Troia IcedID, escreveu Kimayong.
O arquivo ZIP expandido é um documento do Microsoft Word que contém uma macro que é executada ao abrir o documento, com “a tentativa usual de engenharia social de fazer com que as vítimas habilitem macros”, escreveu ele. “Uma vez que as macros são habilitadas, o script VB irá baixar uma DLL, salvá-la como PDF e instalá-la como um serviço usando regsvr32 para garantir a persistência.”
Este estágio também mostra como os invasores estão sendo “minimalistas” no uso do código de macro, que “é muito simples e direto”, embora ainda consiga ofuscar strings e chamadas de função para evitar a detecção, escreveu Kimayong.
O segundo estágio do ataque baixa a DLL de 3wuk8wv [.] Com ou 185.43.4 [.] 241, um site que está hospedado em um provedor de hospedagem na Sibéria, na Rússia. Depois de baixado, o DLL malicioso é salvo como um arquivo PDF e, em seguida, a macro o executa por meio de uma chamada para regsvr32.exe, de acordo com o relatório.
A DLL baixa o próximo estágio do ataque do domínio loadhnichar [.] Co como um arquivo PNG e o descriptografa, escreveu Kimayong. Essa fase do ataque também conta com táticas evasivas, observou.
“Este carregador combina seu tráfego com solicitações para domínios benignos, como apple.com, twitter.com, microsoft.com, etc. para parecer mais benigno para sandboxes que tentam analisá-lo”, escreveu Kimayong.
O terceiro estágio faz o download do módulo principal IcedID como um arquivo PNG, gera um processo msiexec.exe e injeta o módulo principal IcedID nele, disse ele.
Fonte: https://threatpost.com/icedid-trojan-rebooted-evasive-tactics/158425/
