Novo Malware de Roubo de Credenciais Ataca Bancos nos EUA e Canadá
Índice:
O setor bancário sempre foi um alvo atraente para cibercriminosos. Após o surgimento de Zeus e Gozi em 2007, trojans bancários proeminentes frequentemente faziam manchetes ao esvaziarem contas de clientes. Recentemente, os pesquisadores de segurança identificaram mais um membro da família de malwares financeiros. Desta vez, a campanha é direcionada ao setor bancário dos EUA e do Canadá, que tem sido alvo de um novo ladrão de credenciais desde o início de 2020.
Visão Geral da Campanha
Enquanto a atividade maliciosa teve origem nos primeiros meses de 2020, os pesquisadores de segurança detectaram o novo ladrão de credenciais apenas no terceiro trimestre de 2020. Evidentemente, ele aplica técnicas eficazes de evasão. Primeiramente, o malware é composto na linguagem de script AutoHotKey (AHK), o que significa que pode ser iniciado sem um compilador embutido em um PC comprometido. Em segundo lugar, a ameaça carrega cada componente malicioso separadamente, utilizando scripts AutoHotKey distintos para vários alvos. Uma combinação dessas funcionalidades permite que o ladrão de credenciais permaneça invisível para os pesquisadores e evite a detecção por sandbox.
Outro aspecto notável desta campanha maliciosa é que ela pode ser executada dentro de um modelo de “hack-for-hire”. Os componentes de software maliciosos são estritamente sistematizados. Além disso, comentários de instrução detalhados para a função principal e variáveis são fornecidos. Esses são indicadores de que o malware pode ter sido desenvolvido para ser usado como um serviço. Notavelmente, as instruções são escritas na língua russa, o que indica um possível país de origem para os desenvolvedores.
Novas Capacidades de Malware Bancário
Uma cadeia de infecção multietapas começa com documentos do Excel com macros, presumivelmente distribuídos por malspam e spear-phishing. Caso uma vítima seja enganada a habilitar uma macro VBA AutoOpen, o documento solta e executa o script cliente do downloader AutoHotKey (AHK) (adb.ahk) com a ajuda de um compilador de script AHK portátil (adb.exe). Nesse contexto, adb.ahk é usado para persistência e para marcar alvos. Particularmente, usa o número de série do volume do drive C para produzir IDs personalizadas para cada vítima. Este ID permanece constante e é utilizado para rastrear infecções bem-sucedidas.
Após a compilação e obtenção de persistência, o ladrão de credenciais solta uma “sqlite3.dll” no dispositivo afetado. Esta DLL lança consultas SQL para recuperar dados de login de um vasto leque de navegadores, incluindo Microsoft Edge, Google Chrome, Opera, Firefox e Internet Explorer (IE). Em seguida, as credenciais roubadas são descriptografadas e enviadas para o servidor C2 via uma solicitação HTTP POST. Vale notar que o componente ladrão de senhas do IE usa um código malicioso de código aberto convertido para a linguagem AutoHotKey, enquanto outros componentes são personalizados e nativos de AHK.
Detecção de Ataques de Ladrão de Credenciais
Considerando as capacidades evasivas do novo malware AutoHotKey, a detecção proativa de ataques é uma tarefa prioritária. Encontre os rastros de um ladrão de credenciais recentemente descoberto que visa os EUA e o Canadá com conteúdo de detecção gratuito lançado no Threat Detection Marketplace por Osman Demir:
https://tdm.socprime.com/tdm/info/eBKM4Wg36Rhi/nEbpj3YBmo5uvpkj1M6F/
A regra tem traduções para as seguintes plataformas:
SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, LogPoint, Humio
MITRE ATT&CK:
Táticas: Acesso a Credenciais, Persistência, Comando e Controle
Técnicas: Credenciais de Navegadores da Web (T1503), Modificação de Atalho (T1023), Protocolo de Camada de Aplicação Padrão (T1437)
Inscreva-se gratuitamente no Threat Detection Marketplace e encontre mais conteúdo valioso de SOC para detecção proativa de ataques. Seja bem-vindo a participar do nosso Programa de Recompensa de Ameaças para criar suas próprias regras Sigma e se tornar parte da comunidade de caça a ameaças da SOC Prime.
