Falso Update dissemina novo carregador altamente evasivo
Neste artigo, o Malwarebytes analisa um novo carregador altamente evasivo que é implantado em vítimas através de uma falsa atualização de sistema. O carregador, chamado nsjail, é um jailer de processo para Linux que pode ser usado para implantar um malware sem ser detectado.
Em 5 de maio de 2021, o Malwarebytes Labs foi avisado por um de nossos alertas de inteligência de que um novo método de evasão estava em uso no mundo real. Seu uso é particularmente notável porque ainda não foi detectado pelos principais produtos de detecção de malware.
Este método de evasão envolve o uso de um código baseado em PowerShell para carregar um payload para a memória, como é feito com outras implantacões de malware de memória. No entanto, o código foi desenvolvido para evitar a detecção pelos principais produtos de detecção de malware, incluindo o Malwarebytes.
Nesse caso particular, tivemos um alerta da API Malwarebytes Cyber Intake sobre um arquivo suspeito chamado “update.vbs”, que foi identificado como um componente de malware de backdoor conhecido como “Trickbot”. Após a análise, descobrimos que este não era um arquivo legítimo vbs, mas sim um código baseado em PowerShell que, quando executado, carregaria um payload para a memória. Este código contém algumas camadas de evasão, incluindo a ofuscação do código e o uso de strings ocultas.
O código de PowerShell é basicamente uma implementação simplificada do módulo Invoke-ReflectivePEInjection, que é um método comum de carregamento de payload para a memória. Tendo em mente que este é um novo método de evasão, é provável que outros grupos de amenazas comecem a usá-lo nos próximos meses.
