Malware bancário brasileiro utiliza o Dropbox como hospedagem

alerta

Recentemente o laboratório regional da Trend Micro – empresa especializada na defesa de ameaças digitais e segurança na era da nuvem – detectou uma tentativa de ataque por meio da engine de New Domain do produto Deep Discovery.

Responsável por gerar alertas quando um domínio novo é utilizado, a técnica New Domain é bastante utilizada atualmente para evasão de tecnologias baseadas em reputação de URL’s.

Entendendo o caso

O ponto de entrada para a infecção foi uma URL que, na época, não possuía nenhum malware hospedado. O ponto que chamou a atenção foi o redirecionamento para uma URL maliciosa no Brasil que encaminhava o usuário a um download de um arquivo ZIP hospedado no DropBox.

O uso de URL’s de redirecionamento e/ou originadas em encurtadores como exemplo: bit.ly, ow.ly, go.gl é uma técnica bastante utilizada para evasão de tecnologias tradicionais.

Segundo dados publicados pela Trend Micro, 91% dos ataques avançados têm o email como ponto inicial de infecção normalmente por meio de um ataque do tipo Spear-Phishing.

Em uma tentativa de burlar regras geralmente existentes em sistemas de segurança para e-mail, o atacante enviou um endereço que direcionava o usuário ao download do arquivo malicioso.

A primeira detecção feita pelo Deep Discovery Inspector foi a chegada de um e-mail com uma URL utilizando um domínio novo na base de reputação da Trend Micro.

O atacante usa da engenharia social para fazer com que as vítimas cliquem no link enviado e sejam infectadas: o assunto do e-mail é “Segue o comprovante de depósito”.

Na sequência, após a vítima ser infectada, inicia-se a comunicação com o servidor de comando e controle do atacante e a partir desta fase, o protocolo utilizado na comunicação entre a máquina infectada e a comunicação C&C é HTTP.

A utilização de um User-Agent personalizado apresentou-se muito mais significativa do que o observado: em uma das primeiras ações do malware, identificou o nome da máquina infectada e possibilitou ao C&C fazer um registro daquela infecção.

Pontos de atenção

Loja Integrada – Inside
Rakuten Expo 2017 – Inside
Inside Banner Mandaê

Pelo rastreamento na base de inteligência da Trend Micro, foi constatado que o User-Agent utilizado na comunicação, tem o mesmo nome de um grupo de atacantes brasileiro relacionado a possíveis ataques direcionados.

Abaixo os pontos que mais chamaram a atenção da Trend Micro durante análise do malware:

Técnicas de evasão de análise em Sandbox: o malware pode detectar se sua execução está ocorrendo em um ambiente real ou simulado. Por meio do Deep Discovery Analyzer é possível iludir o malware utilizando técnicas anti-evasão;

Download de módulos externos: foram detectados módulos adicionais para a captura das teclas, permitindo o roubo de senhas bancárias da vítima;

BANLOAD

Com a correlação automatizada das informações, o malware foi classificado como BANLOAD e tem como objetivo o roubo de dados bancários das vítimas infectadas.

O C&C é mantido no Brasil, em uma grande empresa de hosting. A Trend Micro estudou a estrutura do ambiente montado para “hostear” e monitorar os ataques.

Dentro de um diretório chamado Play, o atacante mantém uma página falsa de atualização do Adobe Flash, que redireciona o usuário para a URL mencionada no começo do artigo. Após o usuário clicar no link para “visualizar o comprovante de depósito” é exibida uma página informando ser necessário atualizar o flash e o usuário é redirecionado para um diretório do Dropbox, onde o malware está hospedado:

trendmicro1

A Trend Micro informou ao DropBox, que um grupo de atacantes estava utilizando seus serviços para hospedar um malware e o link foi retirado do ar.

Endereços IP das vítimas e nomes das máquinas

trendmicro1

A Trend Micro utilizou toda inteligência gerada na análise dinâmica e estática dos produtos de sandboxing e monitoramento de redes para proteger seus clientes: as URL’s utilizadas foram categorizadas como maliciosas, o e-mail categorizado como Spear-Phishing e todos os arquivos como maliciosos.

Fundado no ano de 2009, o E-Commerce News é um site projetado para profissionais de todas as áreas, interessados nos mais recentes conteúdos sobre o e-commerce no Brasil e no mundo.
  • Todos Fornecedores
  • Consultoria
  • Marketplace
  • Plataformas
    • Gestão de Anúncios
    • Atendimento ao Cliente
    • E-Mail Marketing
    • Sistema de ERP
    • Pagamento Online
    • Mídias Sociais
    • Plataforma de E-Commerce
    • Precificação Dinâmica
  • Serviços
    • Escola Especializada
    • Logística
    • Agência Especializada
    • Redirecionamento de Encomendas
 
Moovin
EZ Commerce
Rakuten
Bling
Accesstage
Mailbiz
LojaMestre
E-Goi
Neoassist
DLojavirtual
Dotstore
Ciashop
Seri.e Design
Web Jump
GhFly
E-Millennium
Bis2Bis
Bluefoot
F1soluções
Enviou
Xtech Commerce
ComSchool
Brasil na Web
Nação Digital
Trezo
E-Commerce Logística
Softvar
SoS Loja Virtual
World Pay
Tray
Socialrocket
Qwintry
Mandaê
E-completo
Braspag
Precode
Adena
Loja Integrada
 

DEIXE UMA RESPOSTA

Please enter your comment!
Please enter your name here