Novidade no TrickBot, verificação da resolução da tela para evitar a detecção

 Há apenas um ano, a gangue do TrickBot adicionou um novo recurso ao seu malware que encerrava as cadeias de infecção se resoluções de tela não padrão fossem detectadas nos dispositivos.

O que há de único na nova variante?

Recentemente, um caçador de ameaças e membro do grupo de segurança Cryptolaemus descobriu um anexo HTML contendo um alerta falso de compra de seguro.

• O e-mail de spam baixa um arquivo ZIP para um sistema físico e redireciona as vítimas para o site da American Broadcasting Company (ABC) em um ambiente virtual.
• O script os distingue verificando se o navegador da web usa um renderizador de software como SwiftShader, VirtualBox ou LLVMpipe, o que normalmente implica o uso de uma máquina virtual.
• Além disso, o script também verifica a profundidade de cor, altura e largura de uma tela.

Segundo os pesquisadores, é pela primeira vez que uma quadrilha usa um script em um anexo HTML para verificar a resolução da tela.

A cadeia de infecção

Abrir o anexo de e-mail, que ocorre em seu navegador da web padrão, inicia o arquivo HTML da campanha.

• Uma mensagem é exibida solicitando aos usuários que esperem enquanto o documento está sendo carregado. Em seguida, ele pede uma senha para acessá-lo.
• Na máquina de um usuário normal, a cadeia de infecção começa logo após o download de um arquivo ZIP com o executável TrickBot.
• Baixar malware dessa forma é chamado de contrabando de HTML, que ignora os filtros de conteúdo do navegador e coloca arquivos maliciosos em um sistema comprometido, incluindo código JavaScript codificado em um arquivo HTML, o que é novo.

Conclusão

Operadores TrickBot agora estão usando resoluções de tela de dispositivos para identificar se o ambiente de destino é virtual ou não. Para se manter protegida contra essas ameaças, as organizações precisam de uma ferramenta que examine os arquivos com base em seu comportamento e forneça relatórios sobre mudanças importantes no sistema.

Fonte: www.cyware.com