Quase 100 organizações no Brasil alvejadas com cavalo de Troia bancário

Até 100 organizações no Brasil foram alvo de um cavalo de Troia bancário desde aproximadamente o final de agosto de 2021, com a atividade mais recente observada no início de outubro.

Esta campanha parece ser uma continuação da atividade que foi publicada por pesquisadores da ESET em 2020. Os invasores pareciam não se intimidar com a exposição e a Symantec, uma divisão da Broadcom Software, encontrou um grande número de novos indicadores de comprometimento (IOCs) relacionados a essa última onda de ataques.

A equipe de Threat Hunter da Symantec tomou conhecimento desta campanha recente quando uma atividade suspeita foi detectada em um ambiente de cliente em 30 de setembro de 2021. Essa atividade suspeita inicial foi detectada por nossa tecnologia Cloud Analytics, e investigações posteriores descobriram que estavam sendo feitas tentativas de baixar um arquivo suspeito denominado mpr.dll no ambiente do cliente. Msiexec.exe estava tentando baixar o arquivo de um URL suspeito. Uma análise posterior indicou que cinco arquivos foram baixados, quatro dos quais foram assinados e pareciam ser arquivos DLL legítimos, mas o arquivo denominado mpr.dll não foi assinado e era suspeitamente grande para um único arquivo DLL de 588 MB. Os pesquisadores da Symantec concluíram que este era um “Trojan bancário latino-americano”,

Uma investigação mais aprofundada por nossos analistas revelou que atividades semelhantes tinham sido destinadas a várias organizações diferentes desde o final de agosto de 2021. Na verdade, até 98 organizações podem ter sido alvo de atividades semelhantes, com todas as organizações afetadas sediadas no Brasil.

Os setores-alvo dessa atividade incluem tecnologia da informação, serviços profissionais, manufatura, serviços financeiros e governo.

O que é um “Trojan bancário latino-americano”?

Os cavalos de Troia bancários são um tipo de malware projetado para roubar informações bancárias online das vítimas, para que agentes mal-intencionados possam acessar as contas bancárias das vítimas. Uma vez na máquina, o malware normalmente funciona monitorando os sites que as vítimas estão visitando e comparando-os com uma lista codificada. Se a vítima visitar um site de banco, o Trojan geralmente exibirá uma página de login falsificada em um pop-up sobre a página legítima, na tentativa de obter as credenciais bancárias da vítima. Geralmente, esses pop-ups são feitos para imitar as páginas de login legítimas de bancos específicos e costumam ser bastante convincentes.

Embora uma das maiores ameaças no cenário do crime cibernético, os cavalos de Troia bancários foram usurpados em muitas partes do mundo por ransomware nos últimos tempos. No entanto, principalmente na América Latina, eles ainda dominam muitas atividades de crimes cibernéticos.

Em seu relatório de 2020, a ESET determinou que havia 11 gangues de Trojan bancários operando na América Latina e que esses grupos cooperavam entre si. Chegou a essa conclusão devido às muitas táticas, ferramentas e procedimentos compartilhados usados ​​pelos criminosos cibernéticos que implantam cavalos de Troia bancários na América Latina.

Cadeia de ataque para atividade recente

Não observamos qual foi o vetor de infecção inicial nesta campanha, mas provavelmente foi uma propagação de URL malicioso por meio de campanhas de e-mail de spam ou malvertising, que normalmente é a primeira etapa em campanhas de cavalos de Troia bancários na América Latina. As vítimas são então direcionadas para um dos seguintes URLs maliciosos:

• hxxps://centreldaconsulta[.]com/
• hxxps://www.centralcfconsulta[.]net/
• hxxps://centralcfconsulta[.]net/index3.php?api=vFUMIfUzGz2QdjxTFKAMyTlh
• hxxps://centralcfconsulta.net/
• hxxps://www.centralcfconsulta[.]net/index3.php?api=r0ubnHRxDycEy5uFPViNA55Y3t
• hxxps://www.centralcfconsulta[.]net/index3.php?api=4DQSbdp3hLqPRGTbOGtl7jCD9FKNViKXmKd9Lv
• hxxps://centreldaconsulta[.]com/index3.php?api=nJsdr1J3h0fsG18sRAVQt6JjVW
• hxxps://centreldaconsulta[.]com/index3.php?api=ThMyMCAQEOLIC9nO
• hxxps://www.centralcfconsulta[.]net/index3.php?api=wen1eIFCeUh0jAS3mWIDUhSLt3sXMQ

As vítimas são então redirecionadas para um URL da Amazon Web Services (AWS), que parece que os invasores abusaram de usar como um servidor de comando e controle (C&C). Um arquivo ZIP que contém um arquivo Microsoft Software Installer (MSI) é baixado da infraestrutura AWS.

A ESET relatou que a maioria das gangues que implantam cavalos de Troia bancários na América Latina começou a usar arquivos MSI como download inicial em 2019. Um arquivo MSI pode ser usado para instalar, desinstalar e atualizar aplicativos em execução em sistemas Windows.

Se a vítima clicar duas vezes no arquivo MSI dentro do ZIP baixado, ela executará msiexec.exe, que então se conecta a um servidor C&C secundário para baixar outro arquivo ZIP contendo a carga útil (mpr.dll), junto com outro executável portátil legítimo ( PE). Os URLs observados sendo acessados ​​por msiexec.exe incluem:

• hxxp://13.36.240[.]208/ando998.002
• hxxp://13.36.240[.]208/msftq.doge
• hxxp://15.237.60[.]133/esperanca.lig2
• hxxp://15.237.60[.]133/esperanca.liga
• hxxp://52.47.163[.]237/microsft.crts
• hxxp://52.47.163[.]237/nanananao.uooo
• hxxp://15.237.27[.]77/carindodone.ways

O arquivo ZIP extraído contém um aplicativo Oracle legítimo renomeado – VBoxTray.exe. Isso é executado para carregar a carga útil (mpr.dll) por meio de sequestro de ordem de pesquisa de DLL. O sequestro de ordem de pesquisa de DLLs aproveita a maneira como o Windows lida com DLLs para permitir que um invasor carregue um código malicioso em um processo legítimo. O arquivo mpr.dll também é maior que 100 MB para evitar o envio aos serviços de segurança, que tendem a não processar arquivos acima desse tamanho. Esses arquivos e esse mesmo processo foram observados na atividade do cavalo de Troia bancário detalhado no relatório da ESET.

A persistência é então criada para o VBoxTray.exe renomeado para que mpr.dll seja sempre carregado paralelamente a ele por meio do Registro do Windows ou da Instrumentação de Gerenciamento do Windows (WMI). Esta é outra técnica comum usada na cadeia de ataque para cavalos de Troia bancários da América Latina.

Fique alerta para esta atividade

As várias etapas executadas pelos invasores por trás dessa atividade para evitar a detecção – como usar um arquivo grande para a carga útil para que não seja verificado por software de segurança e aproveitar processos e aplicativos legítimos para fins maliciosos – mostram que aqueles por trás disso campanha de ataque são atores razoavelmente sofisticados. O número de organizações afetadas nesta campanha também indica que um grande número de pessoas provavelmente são responsáveis ​​por esta atividade – e pode ser que mais de um grupo esteja por trás desta atividade. Pode ser uma série de grupos agindo de forma cooperativa, como a ESET disse que pode ser a abordagem adotada por vários grupos de ataque de cavalos de Tróia bancários que operam na América Latina.

Embora o ransomware domine grande parte da discussão no cenário do crime cibernético no momento, é importante lembrar que ele não é a única ameaça que existe. Os cavalos de Troia bancários têm o potencial de ser um problema caro para indivíduos e organizações, portanto, as pessoas, especialmente aquelas baseadas na América Latina onde essa atividade parece ser particularmente predominante, precisam permanecer alertas a essa ameaça.

Etapas simples, como garantir que você tenha a autenticação multifator habilitada em todas as contas financeiras, podem ajudar a diminuir o impacto de ameaças como essas.

Proteção

Baseado em arquivo:

• Infostealer.Bancos

Para obter as atualizações de proteção mais recentes, visite o Symantec Protection Bulletin.

Indicadores de compromisso (IOCs)