Home  >  Segurança

Ursnif Trojan volta com força no modelo fileless

Também conhecida como Dreambot, essa nova variante pode implantar o ransomware GandCrab por meio de macros do Microsoft Word

Lucian Constantin – CSO (EUA)

31/01/2019 às 18h31

malware
Foto: Shutterstock

Pesquisadores alertam sobre uma nova onda de ataques de um Trojan - chamado Ursnif -, que rouba informações usando o PowerShell e mecanismos de execução fileless, dificultando sua detecção. Alguns dos ataques também implantam o ransomware GandCrab.

O Ursnif, também conhecido como Dreambot, existe há algum tempo e inicialmente se concentrava em roubar e-mails e credenciais de serviços bancários on-line de navegadores. No entanto, o Trojan possui módulos que estendem sua funcionalidade e também foi usado recentemente para implantar outros malwares.

Por exemplo, pesquisadores do Carbon Black observaram uma campanha de spam no último mês que distribui o Ursnif, mas instala o ransomware GandCrab. "O ataque geral aproveita várias abordagens diferentes, que são técnicas populares entre os red teamers, os adversários focados na espionagem e as campanhas criminosas em grande escala", disse o pesquisador do Carbon Black, em um novo relatório.

A cadeia de ataque começa com e-mails de spam que carregam documentos do Word contendo scripts de macro mal-intencionados. As macros são ofuscadas com código de lixo eletrônico, mas são projetadas para executar um comando codificado do PowerShell armazenado no campo Texto Alternativo de um objeto dentro do documento.

As macros de documentos e os scripts do PowerShell foram amplamente usadas para instalar malware nos computadores nos últimos anos, porque esses recursos estão presentes por padrão no Windows e no Microsoft Office.

O script PowerShell faz o download de uma carga útil de um servidor de comando e controle embutido e a executa diretamente na memória. Essa segunda carga, em seguida, faz o download de outro arquivo no formato bruto de pastebin.com e o injeta no processo do PowerShell. A carga útil final é a versão 5.0.4 do GandCrab, um programa de ransomware vendido nos mercados underground como um serviço, em que seus criadores permitem que outros criminosos o usem para uma parte dos lucros. Já existe uma ferramenta de descriptografia disponível para algumas variantes do GandCrab, mas esta parece ser uma versão mais recente.

cybersecurity.jpg

Pesquisadores de segurança do grupo Talos, da Cisco, também viram e analisaram campanhas recentes do Ursnif e publicaram um relatório técnico que explica detalhadamente sua cadeia de infecção. Segundo eles, o Ursnif não carrega apenas códigos maliciosos diretamente na memória. Ele também consegue permanecer persistente entre as reinicializações, permanecendo sem arquivo. Isso é obtido armazenando um comando codificado do PowerShell dentro de uma chave do Registro e, posteriormente, iniciando-o usando a linha de comando da Instrumentação de Gerenciamento do Windows (WMIC Windows Management Instrumentation Command-line).

O malware armazena os dados roubados em arquivos CAB compactos e os envia a servidores de comando e controle usando conexões HTTPS criptografadas, dificultando que as soluções de prevenção de vazamento de dados detectem o tráfego.

"Ursnif é um fã da persistência 'sem arquivos (fileless)' que dificulta que as técnicas tradicionais de antivírus filtrem o tráfego C2 do tráfego normal", disseram os pesquisadores da Cisco Talos. "Além disso, usa arquivos CAB para compactar seus dados antes de exfiltration, o que torna este malware ainda mais desafiador para parar.”

Tanto a Cisco Talos quanto o Carbon Black incluíram indicadores de comprometimento, como hashes de arquivos, URLs e outros artefatos, em seus respectivos relatórios, e o Carbon Black também lançou regras do YARA que podem ajudar os defensores da rede e os respondentes a detectar essas infecções.