Em um esforço para ocultar os endereços dos servidores de comando e controle (C2), os operadores de um cavalo de troia bancário os colocaram em sites falsos e nas descrições dos vídeos do YouTube.
O nome do malware é Casbaneiro e sua ampla distribuição é possível através do ReLoader, uma ferramenta de ativação ilegal para criar versões piratas do sistema operacional Windows e do pacote Microsoft Office.
Algumas variantes do ReLoader baixam e instalam o trojan bancário primeiro e só depois executam o curso pretendido.
O método é incomum na América Latina, onde Casbaneiro normalmente opera, mas é provável que as vítimas não notem o malware entrando, já que o ativador ainda faz seu trabalho.
O endereço C2 se infiltrou em recursos online
O banqueiro não é novo no ramo, sendo o sexto trojan bancário mais prevalente na América Latina no início deste ano . Também foi observado em várias campanhas por pesquisadores da FireEye, Cisco e enSilo.
Existem pelo menos quatro variantes do malware em circulação, mas no núcleo elas têm código quase idêntico a uma ferramenta de acesso remoto disponível ao público.
Os analistas de malware da ESET também encontraram fortes conexões entre Casbaneiro e outro cavalo de Troia bancário chamado Amavaldo.
O terreno comum entre os dois inclui um algoritmo criptográfico incomum no componente injetor, o uso de um script semelhante do PowerShell em uma campanha e a distribuição de uma ferramenta projetada para registrar automaticamente novas contas de email no Brasil Online.
O que chamou a atenção dos pesquisadores da ESET, no entanto, é o trabalho dos operadores em esconder os servidores C2. Enquanto os pesquisadores viram os endereços dos servidores armazenados no binário do malware, eles também notaram algumas variantes que recuperaram as informações de uma maneira menos óbvia.
Um método observado é ter o endereço C2 incorporado em um documento online (Google Docs). O arquivo é preenchido com texto inútil, mas também contém o nome do domínio em formato criptografado.
O início e o fim da cadeia de caracteres são marcados por um ponto de exclamação e são codificados em hexadecimal. Múltiplas variações dos delimitadores podem ser usadas.
A porta de comunicação está embutida no binário, dizem os pesquisadores da ESET em um relatório publicado hoje.
Um método mais trabalhoso descoberto pelos analistas envolveu a criação de um site falso e a ocultação do domínio C2 nos metadados da página da web.
Para isso, os operadores da Casbaneiro imitaram um site legítimo que simplesmente oferecia a hora e a data atuais no Brasil. É improvável que uma conexão a esse site suscite suspeitas.
Os pesquisadores descobriram pelo menos três sites falsos que incluíam URLs para diferentes servidores Casbaneiro C2.
No entanto, o método mais interessante para ocultar os servidores de comando é incorporando os endereços na descrição dos vídeos do YouTube.
Os pesquisadores encontraram duas contas usadas pelo ator de ameaças para esse fim. Um deles se concentra em receitas culinárias e o outro no futebol, duas categorias particularmente populares no Brasil.
Posicionado no final da descrição do vídeo, o endereço de um servidor Casbaneiro C2 é disfarçado de link para uma página do Facebook ou Instagram. Porém, elas são falsas, pois sua função é simplesmente armazenar o nome de domínio em forma criptografada.
Assim como no site que mostra a hora do Brasil, conectar-se ao YouTube não é motivo de preocupação, porque é um tráfego normal. Mesmo dando uma olhada no vídeo não dá nenhuma pista e o link no final da descrição é facilmente esquecido, dizem os pesquisadores.
O C2 certo e as cargas úteis
A geração do domínio de comando e controle envolve o uso de uma entrada DNS (Sistema de Nomes de Domínio) falsa.
De acordo com a análise da ESET, o método funciona registrando um domínio e associando-o a um endereço IP falso, usado para derivar o endereço IP real.
O algoritmo para gerar o endereço C2 real não é muito complicado e consiste em usar um domínio base, sufixos e um número específico.
O domínio base é usado para derivar um novo domínio, que resolve para um IP falso. Adicionando um número ao IP, o endereço IP real é obtido.
A ESET diz que, além dessas particularidades, as capacidades do Casbaneiro não são muito diferentes de outros trojans bancários espalhados na região da América Latina, que geralmente vêm com um backdoor que permite baixar e executar outros malwares.
Uma das cargas observadas pelos pesquisadores é uma ferramenta de e-mail escrita em C # que cria novas contas na plataforma de e-mail Brasil Online e envia as credenciais ao invasor.
Outro é um ladrão de senhas para credenciais do Outlook que solicita à vítima que inicie uma página de phishing e faça login.
O Casbaneiro não se limita a coletar informações bancárias e distribuir outros malwares. Ele também pode roubar criptomoedas monitorando os dados da área de transferência em busca de cadeias que se parecem com uma carteira de criptomoedas e substituindo-os pelo endereço da carteira do atacante.
Embora o malware não seja sofisticado, seus recursos são amplos o suficiente para gerar múltiplos fluxos de receita para seus operadores ou para permitir que eles mudem para diferentes ataques direcionados por dinheiro.
Nenhum comentário:
Postar um comentário