Ataques de malvertising estão distribuindo carregadores de malware .NET

Ataques de publicidade maliciosa estão sendo usados ​​para distribuir carregadores .NET virtualizados que são altamente ofuscados e lançam malwares ladrões de informações.

Os carregadores, apelidados de MalVirt, são implementados em .NET e usam virtualização por meio do legítimo protetor de virtualização KoiVM para aplicativos .NET, de acordo com pesquisadores de ameaças do SentinelOne’s SentinelLabs. A ferramenta KoiVM ajuda a ofuscar a implementação e execução dos carregadores MalVirt.

Os carregadores estão distribuindo a coleção de malware para roubo de informações do Formbook como parte de uma campanha em andamento, escreveram os pesquisadores em um relatório esta semana. O Formbook e a versão mais recente do XLoader vêm com uma variedade de ameaças, desde keylogging e roubo de captura de tela até roubo de credenciais e malware adicional de teste.

“A distribuição deste malware através dos carregadores MalVirt é caracterizada por uma quantidade incomum de técnicas de anti-análise e anti-detecção aplicadas”, escrevem eles.

É também o exemplo mais recente de malfeitores que se adaptaram à Microsoft no ano passado, bloqueando macros por padrão no Word, Excel e PowerPoint para fechar uma via de ataque popular. Após a mudança da Microsoft, os invasores estão recorrendo a outras opções, como arquivos LNK, anexos ISO e RAR e suplementos XLL do Excel (que a Microsoft abordou em janeiro).

O malvertising também está tendo uma rápida adoção.

“Malvertising é um método de entrega de malware que atualmente é muito popular entre os agentes de ameaças, marcado por um aumento significativo de anúncios maliciosos em mecanismos de pesquisa nas últimas semanas”, escreve o SentinelOne.

O malware Formbook e XLoader são vendidos na dark web e geralmente distribuídos por meio de anexos em e-mails de phishing ou malspam por meio de documentos do Office habilitados para macro – embora essa porta tenha sido fechada.

Eles também são normalmente usados ​​para motivações típicas de crimes cibernéticos. No entanto, o SentinelOne observa que os ladrões de informações foram usados ​​por motivos políticos, inclusive por meio de e-mails de phishing vinculados à invasão russa da Ucrânia e enviados a organizações estatais ucranianas.

“No caso de um carregador intrincado, isso pode sugerir uma tentativa de cooptar métodos de distribuição cibercriminosos para carregar malware de segundo estágio mais direcionado em vítimas específicas após a validação inicial”, escrevem os pesquisadores.

O SentinelOne encontrou pela primeira vez uma amostra do MalVirt ao examinar os resultados do anúncio durante uma pesquisa de rotina no Google por “Blender 3D”. Posteriormente, os pesquisadores ficaram impressionados com o quanto os criminosos foram para evitar a detecção e análise dos carregadores e malware de roubo de informações.

Isso incluiu os carregadores MalVirt usando assinaturas e contra-assinaturas da Microsoft, Acer, DigiCert, Sectigo e outras empresas, mas as assinaturas são inválidas ou criadas usando certificados inválidos, ou os sistemas não confiam nos certificados.

Os carregadores também usam uma série de técnicas de antidetecção e antianálise, com algumas amostras corrigindo certas funções para ignorar a ferramenta Anti Malware Scan Interface para detectar comandos maliciosos do PowerShell ou decodificar e descriptografar strings codificadas em Base 64 e criptografadas em AES.

Algumas amostras do MalVirt também determinam se estão sendo executadas em uma máquina virtual ou ambiente de sandbox, às vezes consultando chaves de registro para detectar os ambientes VirtualBox ou VMware.

Dito isso, o uso da virtualização .NET para evitar detecção e análise é uma “marca registrada” dos carregadores MalVirt, com o VoiVM sendo modificado com outras técnicas de ofuscação, escrevem os pesquisadores. Ele ecoa uma campanha sobre a qual o K7 Security Labs escreveu em dezembro de 2022.

Os malfeitores por trás do malware Formbook e XLoader estão mostrando, por meio da distribuição da MalVirt, que estão se expandindo além do phishing e adotando a crescente tendência de malvertising. O SentinelOne escreve que “dado o enorme tamanho do público que os agentes de ameaças podem alcançar por meio de malvertising, esperamos que o malware continue sendo distribuído usando esse método”. ®

Fonte: https://www.theregister.com/