GIBON Ransomware sendo distribuído por Malspam

Um novo ransomware foi descoberto pelo pesquisador da ProofPoint,  Matthew Mesa,  chamado GIBON. Este ransomware está sendo distribuído atualmente via malspam com um documento malicioso anexado, que contém macros que irão baixar e instalar o ransomware em um computador. Infelizmente, mais informações sobre o malspam atualmente não estão disponíveis no momento.

No entanto, fornecemos informações abaixo sobre o funcionamento do ransomware e graças a  Michael Gillespie , é desencriptável. Então, se você é uma vítima, você pode baixar um decodificador aqui . Se você precisar de ajuda, entre em contato conosco no nosso tópico de suporte e ajuda do GIBON Ransomware .

Por que é chamado GIBON Ransomware?

Quando um novo resgate é descoberto, nem sempre é fácil criar um bom nome para ele. Às vezes, os pesquisadores usarão as cordas encontradas nos executáveis ​​e outras vezes o malware em si nos dará pistas sobre o que devemos chamar.

Com o GIBON Ransomware, é o último como seu nome nos é fornecido dois lugares. O primeiro lugar é a seqüência de agente do usuário de GIBON que é usada quando se comunica com o servidor Command & Control.

Figura 1 – Comunicação com o servidor C2
Fonte: Bleeping Computer

A segunda localização que nos informa o nome é no painel de administração do próprio Ransomware, que é mostrado abaixo. No site abaixo, você pode ver claramente que ele se chama “Máquina de criptografia” GIBON ‘”. Para aqueles que são curiosos, o logotipo abaixo é da empresa de televisão russa VID.

Figura 2 – Painel de Administração do Gibon
Fonte: Bleeping Computer

Como o GIBON Ransomware criptografa um computador

Embora os detalhes completos sobre a sua entrega não estejam disponíveis, posso fornecer algumas informações sobre como o GIBON Ransomware criptografa um computador. Quando o GIBON for iniciado, ele se conectará ao Servidor de Comando e Controle do ransomware e registrará uma nova vítima enviando uma seqüência codificada base64 que contenha o carimbo de data / hora, a versão do Windows e a seqüência de “registro”. A presença da seqüência de registro indica ao C2 que esta é uma nova vítima infectada pela primeira vez.

O C2 enviará uma resposta que contém uma seqüência codificada base64 que será usada pela GIBON como a nota de resgate. Ao fazer com que o servidor C2 forneça a nota de resgate em vez de ser codificado no executável, o desenvolvedor pode atualizá-la sem a necessidade de compilar um novo executável.

Figura 3 – Resposta com a Nota de Resgate
Fonte: Bleeping Computer

Uma vez que uma vítima é registrada com o C2, ele gerará localmente uma chave de criptografia XOR e enviará para o servidor C2 como uma string codificada base64. Essa chave será usada para criptografar todos os arquivos no computador. Como o pedido anterior, o C2 responderá com a nota de resgate.

Agora que a vítima foi registrada e a chave transmitida para o C2, o ransomware começará a criptografar o computador. Ao criptografar o computador, ele irá segmentar todos os arquivos, independentemente da extensão, desde que não estejam na pasta do Windows.

Ao criptografar os arquivos, o GIBON anexará a extensão .encrypted ao nome do arquivo criptografado. Por exemplo, um arquivo chamado test.jpg seria criptografado e nomeado como test.jpg.encrypted. Você pode ver uma pasta de arquivos criptografados abaixo.

Figura 4 – Arquivos Criptografados
Fonte: Bleeping Computer

Durante o processo de criptografia, o GIBON conectará rotineiramente ao servidor C2 e enviará um “PING” para indicar que ainda está criptografando o computador.

Para cada pasta que um arquivo está criptografado, ele também gerará uma nota de resgate chamada  READ_ME_NOW.txt. Esta nota de resgate fornecerá informações sobre o que aconteceu com os arquivos da vítima e instruções para entrar em contato com os emails bomboms123@mail.ru ou subsidiária: yourfood20@mail.ru para obter instruções de pagamento.

Figura 5 – Nota de Resgate Fonte: Bleeping Computer

Quando o ransomware terminou de criptografar um computador, ele enviará uma mensagem final para o servidor C2 com a string “finish”, um timestamp, a versão do Windows e a quantidade de arquivos criptografados.

Neste momento, atualmente não se sabe quanto de ransomware os desenvolvedores estão exigindo. Como afirmado anteriormente, a boa notícia é que este ransomware pode ser descriptografado usando este desencriptador.

Como se proteger do GIBON Ransomware

Para se proteger de GIBON, ou de qualquer ransomware, é importante que você use bons hábitos de computação e software de segurança. Em primeiro lugar, você sempre deve ter um backup confiável e testado de seus dados que podem ser restaurados no caso de uma emergência, como um ataque de ransomware.

Você também deve ter um software de segurança que contenha detecções comportamentais, como  Emsisoft Anti-Malware ,  Malwarebytes ou HitmanPro: Alert. 

Por último, mas não menos importante, certifique-se de praticar os seguintes bons hábitos de segurança online, que em muitos casos são os passos mais importantes de todos:

  • Backup, Backup, Backup!
  • Não abra anexos se não souber quem os enviou.
  • Não abra anexos até confirmar que a pessoa realmente o enviou,
  • Digitalize anexos com ferramentas como o VirusTotal.
  • Verifique se todas as atualizações do Windows estão instaladas assim que elas saem! Certifique-se também de atualizar todos os programas, especialmente Java, Flash e Adobe Reader. Os programas mais antigos contêm vulnerabilidades de segurança que são comumente exploradas por distribuidores de malware. Portanto, é importante mantê-los atualizados.
  • Certifique-se de usar algum tipo de software de segurança instalado.
  • Use senhas rígidas e nunca reutilize a mesma senha em vários sites.

Fonte: BLEEPINGCOMPUTER

Malspam

Perfil curto

Spam é o termo geral usado para especificar e-mails não solicitados. Malware Spam ou MalSpam é o termo usado para designar malware que é entregue por meio de mensagens de e-mail.

 

História

Embora a primeira instância de um malware que seja entregue por spam seja desconhecida, o vírus de mala direta Melissa de 1999 é reconhecido como o primeiro malware amplamente distribuído por e-mail. Melissa digitalizaria listas de contatos de e-mail e enviaria uma cópia de si mesmo para os primeiros 50 contatos dentro da lista. Embora Melissa não tenha destruído arquivos ou outros recursos, o vírus teve o potencial de desativar os servidores de correio corporativo e outros, consumindo recursos enquanto procurava contatos adicionais e enviando cópias do vírus para outros.

Os vírus Copy-Cat usando o email como o método de disseminação rapidamente surgiram logo após. Com cada vírus no momento de competir por taxas de infecção e manchetes da CNN, o e-mail rapidamente provou ser um método viável para entregar anexos maliciosos a usuários desavisados. O worm de envio de massa do ILOVEYOU que saiu em 2000 infectou dezenas de milhões de computadores em todo o mundo e causou bilhões de dólares em danos.

A partir desse ponto, o e-mail foi um vetor primário para a entrega de malwares e, infelizmente, há poucos sinais de que a tendência está a diminuir. O e-mail provou ser um vetor altamente valioso e altamente bem sucedido para a instalação de malware para usuários desavisados.

Métodos de ataques para o MalSpam podem ser definidos. Tudo de campanhas gerais do MalSpam, cobrindo milhões de endereços comprados de provedores de endereço de e-mail, para campanhas direcionadas altamente sofisticadas, cobrindo uma ou duas pessoas, são extremamente comuns.

A pesquisa da empresa Radicati indica que cerca de 205 bilhões de e-mails são enviados a cada dia . E de acordo com a ITU, cerca de 80% de todas as mensagens de e-mail são spam . Embora seja difícil identificar um número exato de e-mails que entregam o MalSpam, é claro que os autores de malwares continuam a ver suficientes instalações bem sucedidas de seus programas maliciosos para garantir a continuação de tais empreendimentos.

Método comum de infecção

O MalSpam, por definição, é malware entregue por e-mail e, como tal, este será sempre o vetor de infecção para malware com esta classificação.

Famílias associadas

Muitas famílias e tipos de malware foram entregues por email. Não há limite ou restrição aos tipos de malware que podem ser enviados por e-mail. Isso inclui:

  • Ransomware
  • Trojans / Bots
  • Info Stealers
  • Spyware / Click-Hijackers

Remediação

A remediação depende do tipo de software malicioso que foi recebido. Os usuários são aconselhados a verificar dentro do perfil específico do MalwareNet que melhor se adapte ao malware recebido para obter informações adicionais.

Consequências

As conseqüências de uma infecção originária do MalSpam dependerão do tipo de malware recebido. Os usuários são aconselhados a verificar dentro do perfil específico do MalwareNet que melhor se adapta ao malware em questão para obter informações adicionais.

Evasão

Nunca baixe ou visualize anexos de remetentes desconhecidos. Sempre trate anexos de remetentes conhecidos como possivelmente suspeitos, a menos que a informação tenha sido solicitada diretamente. Nunca execute arquivos executáveis. E mesmo que o documento aconselhe o contrário, não habilite Macros nos produtos do Office. Se houver uma dúvida, entre em contato com o remetente antes de abrir o anexo para solicitar mais informações. Digitalize anexos com um produto anti-malware respeitável, como o Malwarebytes Anti-Malware, ou escaneie o arquivo contra uma coleção de produtos em www.virustotal.com.

Fonte: Malwarebytes

Alerta nº 07/2017 – Ataques de Ransomware Bad Rabbit

Descrição do Problema

Recebemos relatórios de infecções de ransomware, conhecidos como Bad Rabbit, em alguns países. Aparentando ser variante de Petya, Bad Rabbit é um software malicioso ransomware que infecta um computador e restringe o acesso do usuário à máquina infectada até que um resgate seja pago para desbloqueá-lo.

Sempre desencorajamos o pagamento do resgate, pois não garante a restauração do acesso. O uso de software sem as atualizações de segurança e sem suporte aumenta o risco de proliferação de ameaças, como ataques de ransomware à segurança da informação.

O CTIR Gov RECOMENDA a revisão de seus alertas nº 02/2016 – Ataques de Ransomware através de campanhas de Phishing, nº 02/2017 – Ataques de Ransomware Wanna Decryptor, e nº 04/2017 – Ataques de Ransomware Petrwrap/Petya, disponíveis em www.ctir.gov.br, e que descrevem os recentes eventos de ransomware.

Notifique os incidentes do Ransomware no endereço ctir@ctir.gov.br. O CTIR Gov fornecerá informações atualizadas à medida que elas se tornem disponíveis.

O que é um Ransomware?

Pode ser entendido como um código malicioso que infecta dispositivos computacionais com o objetivo de sequestrar, capturar ou limitar o acesso aos dados ou informações de um sistema, geralmente através da utilização de algoritimos de encriptação (crypto-ransoware), para fins de extorsão.

Para obtenção da chave de decriptação, geralmente é exigido o pagamento (ransom) através de
métodos online, tipo “Bitcoins”.

Métodos de Ataques

Com base em análises realizadas, o Bad Rabbit se espalha para outros computadores na rede, tirando cópias de si mesmo na rede usando seu nome original e executando as cópias descartadas usando o Windows Management Instrumentation (WMI) e o Service Control Manager Remote Protocol. Quando o protocolo remoto do Service Control Manager é usado, ele usa ataques de força bruta para levantamento das credenciais.

Entre as ferramentas Bad Rabbit incorporadas, se encontra o utilitário de código aberto Mimikatz, para a extração de credenciais. Também existem evidências dele usando o DiskCryptor, uma ferramenta legítima de criptografia de disco, para criptografar os sistemas de destino.

É importante notar que Bad Rabbit não explora quaisquer vulnerabilidades, ao contrário de Petya que usou o EternalBlue como parte de sua rotina.

Sugestões para Mitigação do Problema

  • Mesmo não sendo comprovado o uso de vulnerabilidades, até o momento, mantenha seus sistemas atualizados para a versão mais recente ou aplique os patch conforme orientação do fabricante.
  • Isolar a máquina da rede, ao primeiro sinal de infecção por malware;
  • Verificar o tráfego de máquinas internas para domínios não usuais ou suspeitos;
  • Monitorar as conexões internas e não usuais entre máquinas da rede, a fim de evitar o movimento lateral de propagação do malware;
  • Garantir o backup atualizado dos arquivos locais e dos Armazenados em Servidores de Arquivos;
  • Manter o antivírus, aplicação de “Patchs” de segurança e a “blacklist” (filtro “antispam”) de e-mail atualizados;
  • Rever a política de privilégios administrativos nas máquinas clientes, a fim de restringir a instalação /execução de binários e ou executáveis desconhecidos; e 
  • Por fim, realizar campanhas internas, alertando os usuários a não clicar em links ou baixar arquivos de e-mail suspeitos ou não reconhecidos como de origem esperada.

Referências

  • http://dsic.planalto.gov.br/legislacao/RequisitosMnimosSIparaAPF.pdf/view
  • http://www.ctir.gov.br/arquivos/alertas/2016/ALERTA_2016_02_AtaquesRansomware.pdf
  • http://www.ctir.gov.br/arquivos/alertas/2017/ALERTA_2017_02_RansomwareWNCRY.pdf
  • http://www.ctir.gov.br/arquivos/alertas/2017/ALERTA_2017_04_RansomwarePetrwrap.pdf
  • http://blog.trendmicro.com/trendlabs-security-intelligence/bad-rabbit-ransomware-spreadsvia-network-hits-ukraine-russia/
  • https://www.us-cert.gov/ncas/current-activity/2017/10/24/Multiple-Ransomware-InfectionsReported

 

Fonte

Falhas no Windows e Linux podem abrir brecha para novo mega-ataque de ransomware

Vulnerabilidades no serviço de desktop remoto do Windows e em máquinas Linux com o serviço Samba podem gerar nova onda de malware, alerta Cipher

Mais de um mês após ao ataque do ransomware WannaCry, que atingiu mais de 70 países, uma nova onda de malware que se autopropaga pode estar por vir devido a duas novas vulnerabilidades: uma no serviço de desktop remoto (RDP) do Windows e outra por causa de falha que atinge máquinas Linux com o serviço Samba. O alerta é do Laboratório de Inteligência da Cipher, empresa global de segurança cibernética.

A vulnerabilidade afeta máquinas Windows XP e Windows 2003 Server, sistemas cujo suporte foi descontinuado pela Microsoft. O exploit, chamado EsteemAudit, também foi publicado pelo grupo hacker autodenominado Shadow Brokers, responsável pela divulgação da falha EternalBlue que deu origem ao WannaCry. Cerca de 7% dos computadores pessoais ainda utilizam a versão XP do Windows e estimativas dão conta que 600 mil servidores web ainda estão rodando a versão Server 2003. A Microsoft divulgou atualização para essa falha.

Já o Samba é um serviço do Linux utilizado para compartilhamento de arquivos e compatibilidade com sistemas operacionais Windows, permitindo a troca de arquivos e sessões de comunicação entre os dois sistemas operacionais. A falha também permite a execução de código remoto em dispositivos Linux e a criação de um “wormable malware”, ou seja, um software malicioso que pode infectar outros dispositivos conectados em rede automaticamente.

De acordo com o especialista em cibersegurança da Cipher, Fernando Amatte, é necessário ter cuidado ao conectar um dispositivo à internet. “Valide as regras dos dispositivos que estão expostos e, caso seja necessário o uso do RPD, ele deve ser feito via uma conexão VPN”, alerta.

O grande risco nesse caso está em equipamentos do tipo NAS (Network Attached Storage), que são discos rígidos externos com capacidade de conexão em rede utilizados para armazenar fotos, vídeos e arquivos pessoais. Esses dispositivos utilizam, via de regra, Linux e não possuem processo de atualização automatizada.

“Por enquanto notamos, entre os nossos clientes, que os casos relacionados a possíveis problemas são isolados, mas se não formos cautelosos, uma nova gama de ataques pode acontecer. A recomendação é alertar aos gestores para tomarem cuidado e procurar atualizações nos sites dos fornecedores, além de buscar um especialista em segurança da informação para saber o nível de risco de exposição em que a empresa se encontra”, finaliza Amatte.

Fonte

Os atacantes utilizam a falha SambaCry para executar o minerador Cryptocurrency

Os fraudadores exploraram uma vulnerabilidade corrigida para empurrar uma mineradora de criptografia para máquinas Linux e gerar dinheiro eletrônico. Os ataques, detalhados pelos pesquisadores das empresas de segurança Kaspersky Lab e Cyphort, aproveitam a vulnerabilidade nas instalações da ferramenta de interoperabilidade Samba. Esta notícia vem poucos dias depois que a equipe do Samba anunciou que havia corrigido versões anteriores do software.

A vulnerabilidade também vem na sequência do recente sistema de resgate WannaCry. A SecurityWeek explicou que, como sua contraparte, o minerador de criptografia – que alguns pesquisadores chamaram de SambaCry – apresenta um risco significativo para usuários e empresas.

Explorando o Samba

O Samba, que é executado em servidores Linux e UNIX, é uma ferramenta que configura serviços de arquivamento e impressão através do protocolo de rede SMB, integrando esses serviços em um ambiente Windows. Os atacantes que procuram executar o minerador de criptografia usam uma falha no Samba para instalar um plugin malicioso que permite privilégios de superusuário.

A Kaspersky advertiu os usuários que a vulnerabilidade do Samba é como o bug que os cibercriminosos exploraram durante o recente surto de WannaCry ransomware. O primeiro arquivo entregue é um backdoor que fornece um shell reverso, permitindo que os atacantes executem comandos remotamente.

Os atores da ameaça então instalam um minerador de criptografia para coletar dinheiro na forma de Monero, que é uma alternativa ao bitcoin. Os lucros são enviados para uma carteira com um endereço codificado.

Mais do que apenas um minerador Cryptocurrency

Kaspersky disse que os atacantes receberam seus primeiros criptocoins em 30 de abril, quando ganharam cerca de 1 XMR (cerca de US $ 55). Após um mês de mineração, os atacantes ganharam 98 XMR, o que significa que eles ganharam cerca de US $ 5.500.

Embora os números sejam relativamente pequenos, o aumento no lucro sugeriu que o botnet de mineração de dispositivos em nome dos atacantes está crescendo a uma taxa significativa. Mais problemático, os pesquisadores da Kaspersky disseram que ainda não possuem informações sobre a escala do ataque.

Os tomadores de decisão de TI devem notar que as máquinas afetadas podem atuar como mais do que um minério de criptografia. Os cibercriminosos podem aproveitar o invólucro inverso deixado no sistema para alterar a configuração do minerador existente, ou podem infectar o computador da vítima com outro malware.

Como responder

A empresa de segurança Rapid7 observou que muitos sistemas de armazenamento domésticos e corporativos executam o Samba. A ferramenta geralmente é instalada por padrão em sistemas Linux, o que significa que as empresas podem estar executando o Samba sem mesmo saber disso. Sua análise recente descobriu mais de 104.000 pontos finais expostos à Internet que parecem estar executando versões vulneráveis ​​do Samba.

A Kaspersky explicou que a notícia da vulnerabilidade é outra lembrança sobre a importância de políticas de segurança fortes. Os pesquisadores pediram aos administradores de sistemas e usuários comuns de Linux que atualizem seu software Samba para a última versão corrigida, que foi lançada no final de maio.

Os tomadores de decisão de TI também devem notar que o SambaCry não é o único malware que está sendo usado para executar um minério de criptografia. Especialistas descobriram recentemente uma nova variante do malware Mirai que possui um componente de mineração de bitcoína embutido. Todas as partes interessadas, incluindo empresas e fornecedores de TI, devem trabalhar juntas para garantir que os dispositivos sejam corrigidos e protegidos na idade conectada.

Fonte

Desenterrado Rootkits escondidos no PHP, colocando os módulos do Apache em risco

Os módulos do Apache podem ser usados como um novo vetor de ataque para tornar mais fácil para os cibercriminosos assumirem os servidores da Web. O Bleeping Computer informou que o desenvolvedor holandês Luke Paris criou um rootkit que se esconde dentro de um módulo PHP e ataca servidores através de módulos do Apache, que são servidores HTTP de código aberto.

Sobre o vetor da ameaça

Um rootkit é um código que permite acesso ao nível do administrador a um computador ou rede que os invasores podem explorar para injetar códigos maliciosos. A maioria dos rootkits tradicionalmente trabalha perto do kernel do sistema operacional. Os atacantes muitas vezes precisam de habilidades de codificação avançadas para evitar quebrar o computador de uma vítima.

Paris adotou uma abordagem mais simples, desenvolvendo um rootkit que interage com o interpretador PHP em vez do kernel do sistema operacional. Em seu site, o Paris explicou que escrever um módulo PHP é mais fácil do que um kernel porque a base do código é menor, melhor documentada e mais simples. Ele criou o método para educar os outros sobre os perigos potenciais dos módulos PHP mal-intencionados.

O uso de módulos PHP para ocultar os rootkits forneceu várias vantagens para atores nefastos. Por exemplo, as falhas são menos prováveis, e os rootkits PHP só precisam se conectar a um processo do sistema, enquanto os rootkits do kernel devem se conectar a muitos. Além disso, o PHP é uma linguagem multi-plataforma, o que significa que o código escrito para uma plataforma pode ser facilmente compilado para ser executado em outro.

Paris publicou o código-fonte do rootkit completo no GitHub para referência pública. O seu rootkit se encaixa na função SHA-1 do servidor PHP, que é um algoritmo criptográfico que gera hashes para dados digitais que ajudam a comprovar a identidade de um arquivo. Todo o rootkit é apenas 80 linhas de código e pode se esconder facilmente em módulos legítimos. A existência desse rootkit representa um novo vetor de ataque potencial para atores errantes e os administradores de servidores devem começar a pensar em ações preventivas.

Respondendo aos Módulos Apache Maliciosos

Os especialistas já estão conscientes do risco crescente de autores de malware criando ataques que injetaram código malicioso em kernels do sistema operacional. O que torna o trabalho de Paris diferente é o foco no PHP, embora a Bleeping Computer tenha notado que ele não é a primeira pessoa a sugerir esconder código malicioso nos módulos do Apache. O desenvolvedor de Londres, Christian Papathanasiou, escondeu um rootkit semelhante dentro de um módulo do Apache no GitHub em 2015.

Manter uma lista dos hashes do módulo após a instalação do PHP é a maneira mais simples de detectar se algum deles é mal-intencionado. Paris até publicou um script Python em seu site que permite aos usuários verificar os hashes SHA-1 de seus módulos PHP.

Scott Arciszewski, diretor de desenvolvimento da Paragon Initiative Enterprise, disse à Bleeping Computer que a única modificação que ele faria no script de mitigação de Paris é usar hash SHA-256 no lugar de SHA-1. Os especialistas também sugeriram que as empresas deveriam passar urgentemente do SHA-1 para alternativas mais seguras, como a SHA-256.

O novo vetor de ataque apresenta outra ameaça aos chefes de segurança da empresa que já estão lutando para proteger suas organizações do crescente desafio de malware. Os decisores de TI devem garantir que suas empresas se concentrem em técnicas para ajudar a prevenir injeções de códigos maliciosos.

Fonte

TrickBot se espalha para os nórdicos, lança ataques de redirecionamento na França

A IBM X-Force Research detectou uma nova onda de ataques do TrickBot visando bancos nos países nórdicos. O malware expandiu suas configurações para lançar ataques de fraude contra bancos na Suécia, Finlândia, Noruega, Dinamarca e Islândia, entre as outras geografias visadas.

Além disso, o malware, que vem testando ataques de redirecionamento em um banco na França, agora tem como alvo 28 marcas no país, com foco em empresas corporativas, de investimento e private banking.

TrickBot leva em consideração novas metas

Os operadores do Trojan do banco TrickBot têm trabalhado duro este ano, empregando sofisticados ataques de redirecionamento contra bancos em todo o mundo. Os dados da IBM X-Force revelaram que também duplicaram sua atividade entre os dois primeiros trimestres de 2017, modificando o código para evitar a detecção e o lançamento de campanhas de infecção em diferentes partes do mundo.

Além dos nórdicos e da França, as configurações do TrickBot atingem bancos em 24 países, incluindo:

  • U.K. (36%);
  • França (10%);
  • Suécia (9%);
  • Suíça (6%);
  • U.S. (6%);
  • Finlândia (6%);
  • Noruega (5%);
  • Canadá (4%);
  • Austrália (4%);
  • Irlanda (2%);
  • Dinamarca (1%);
  • Singapura (1%);
  • Alemanha (1%);
  • Líbano (1%);
  • Luxemburgo (1%);
  • Áustria (1%);
  • Bélgica (1%);
  • Lituânia (1%);
  • Hong Kong, Bulgária, Espanha, Israel, Islândia e Tahiti (menos de 1%).

Tenha em mente que esses números são para as campanhas atuais e vão mudar ao longo do tempo. Os arquivos de configuração estão movendo partes de qualquer Trojan bancário e podem ser modificados com bastante freqüência. O TrickBot possui uma configuração dedicada para bancos alvo na Austrália, Canadá, Alemanha e EUA, para citar alguns.

Espalhar e alterar truques

O fato de o TrickBot se espalhar para países com linguagens e sistemas bancários distintamente diferentes sugere que seus operadores tenham recursos para investigar cada alvo, estão preparando sites falsos para os ataques de redirecionamento e provavelmente colaboram com atores baseados nos vários países que o cavalo de tróia agora almeja .

De acordo com a pesquisa da X-Force, as grandes campanhas do TrickBot detectadas em junho de 2017 foram alavancando o botnet Necurs, espalhando o malware com as mesmas táticas usadas por Dridex, Locky e Jaff: um arquivo PDF envenenado contendo um arquivo de produtividade incorporado do Microsoft Office. O arquivo do Office, uma vez aberto, solicita à vítima que habilite macros.

O resto da cadeia de infecção é bastante semelhante às recentes campanhas de infecção por Dridex: o usuário habilita macros, scripts maliciosos iniciam o PowerShell, e a carga útil é eventualmente buscada e implantada no ponto final do destino.

Fonte

Cisco lança gerador de assinaturas de Malware Open Source

O grupo de inteligência e pesquisa Talos da Cisco anunciou na segunda-feira a disponibilidade de uma nova ferramenta de código aberto projetada para gerar automaticamente assinaturas de malware a partir de antivírus.

A ferramenta, chamada BASS, foi descrita como um sintetizador automatizado de assinaturas. O framework cria assinaturas de malware pertencentes a clusters gerados anteriormente e seus principais objetivos são melhorar o uso de recursos e facilitar a análise de malware.

Talos diz que o BASS foi projetado para reduzir o uso de recursos do mecanismo antivírus ClamAV de código aberto da Cisco gerando mais assinaturas baseadas em padrões em vez de assinaturas baseadas em hash. A ferramenta também pode ajudar a reduzir a carga de trabalho de analistas que escrevem assinaturas baseadas em padrões.

A estrutura baseada em Python é implementada como um conjunto de contêineres do Docker, o que o torna facilmente escalável e aproveita os serviços da Web para interagir com outras ferramentas.

De acordo com Talos, milhares de assinaturas são adicionadas ao banco de dados ClamAV todos os dias e muitas delas são baseadas em hash. O problema com as assinaturas baseadas em hash, em comparação com as assinaturas baseadas em bytes e padrões, é que uma assinatura é usada para identificar um único arquivo em vez de um conjunto de malware completo. Isso tem várias desvantagens, incluindo uma maior pegada de memória.

As assinaturas baseadas em padrões são mais fáceis de manter em comparação com assinaturas de bytecode, razão pela qual a Cisco prefere esse tipo de assinatura.

A estrutura BASS leva clusters de malware de várias fontes e cada arquivo é descompactado usando descamadores ClamAV. Uma vez que o cluster de malware é filtrado para garantir que os arquivos correspondem à entrada esperada pelo BASS (ou seja, arquivos executáveis ​​portáteis), os binários são desmontados usando IDA Pro ou outro desassimilhador e a ferramenta pesquisa as amostras para o código comum que pode ser usado para gerar a assinatura.

O código-fonte da versão alpha do BASS está disponível no GitHub. A Cisco Talos manterá a ferramenta, mas a empresa recebe comentários para melhorar sua funcionalidade.

Fonte: Security Week

Tradução e revisão: Fernando Torres F. Silva