Profissionais de segurança da Trend Micro detectaram recentemente uma tentativa de ataque por meio da engine de New Domain do produto Deep Discovery, responsável por gerar alertas quando um domínio novo é utilizado. Classificado como Banload, o malware tem como objetivo o roubo de dados bancários das vítimas infectadas.

A primeira detecção feita pelo Deep Discovery Inspector foi a chegada de um e-mail com uma URL utilizando um domínio novo na base de reputação da Trend Micro. Em uma tentativa de burlar regras geralmente existentes em sistemas de segurança para e-mail, o atacante enviou um endereço que direciona o usuário ao download do arquivo malicioso.

O ponto que chamou a atenção foi o redirecionamento para uma URL maliciosa no Brasil que encaminhava o usuário a um download de um arquivo ZIP hospedado no DropBox. O atacante usou da engenharia social para fazer com que as vítimas usassem o link enviado e fossem infectadas: o assunto do e-mail era “Segue o comprovante de depósito”.

Após a vítima ser infectada, começa a comunicação com o servidor de comando e controle do atacante. O protocolo utilizado na comunicação entre a máquina infectada e a comunicação C&C era o HTTP.

 

De acordo com os analistas da Trend Micro, a utilização de um User-Agent personalizado apresentou-se muito mais significativa do que o observado: em uma das primeiras ações, o malware identificou o nome da máquina infectada e possibilitou ao C&C fazer um registro daquela infecção.

O C&C é mantido no Brasil, em uma grande empresa de hosting.  Dentro de um diretório chamado Play, o atacante mantém uma página falsa de atualização do Adobe Flash, que redireciona o usuário para a URL mencionada no começo do artigo. Após o usuário clicar no link para “visualizar o comprovante de depósito” é exibida uma página informando ser necessário atualizar o flash e o usuário é redirecionado para um diretório do Dropbox, onde o malware está hospedado.

Os pontos que mais chamaram a atenção da Trend Micro durante análise do malware foram:

– Técnicas de evasão de análise em Sandbox: o malware pode detectar se sua execução está ocorrendo em um ambiente real ou simulado. Por meio do Deep Discovery Analyzer é possível iludir o malware utilizando técnicas anti-evasão; 

– Download de módulos externos: foram detectados módulos adicionais para a captura das teclas, permitindo o roubo de senhas bancárias da vítima.

Pelo rastreamento na base de inteligência da Trend Micro, foi constatado que o User-Agent utilizado na comunicação tinha o mesmo nome de um grupo de atacantes brasileiro relacionado a possíveis ataques direcionados.

A Trend Micro informou ao DropBox, que um grupo de atacantes estava utilizando seus serviços para hospedar um malware e o link foi retirado do ar.

 

Fonte: IDGNOW