Nos últimos meses, percebemos um aumento do número de arquivos recebidos pelo nosso laboratório de análise que estão utilizando scripts em AutoIt para dificultar a identificação do módulo malicioso.
A técnica foi encontrada apenas em malwares brasileiros até o momento, combina diversos códigos disponíveis na internet e é usada para camuflar o binário malicioso. Entenda a ameaça que já infectou mais de 3 mil computadores no País e é instalada em aproximadamente 300 novas máquinas a cada dia.
Em um dos casos analisados, recebemos o seguinte e-mail informando que o título eleitoral foi cancelado provisoriamente, solicitando ao usuário que ele leia o regulamento em anexo.
Ao realizar o download e executar o arquivo baixado, ele começa a realizar o download de alguns outros módulos necessários.
Após descompactado, este primeiro módulo baixado possui um executável que foi gerado utilizando AutoIt. Ao extrair o script usado pelo executável, foi possível identificar que o código estava ofuscado para dificultar a análise e identificação do malware.
Todas as strings utilizadas no script foram encriptadas e a função de descriptografia implementada dentro do código é utilizada para descriptografar o conteúdo ao executar-se. Para facilitar a análise do código, reescrevemos a função em Python e substituímos as chamadas das funções pelo conteúdo retornado. O código final ficou mais simples de ser analisado.
Estudando o código, foi possível identificar que o script carrega o próprio executável, descarrega o conteúdo do mesmo e escreve na área de memória do processo o conteúdo de um outro binário que está embutido no executável. Esta técnica já foi detalhada no post sobre o Bolware.
O interessante desta amostra é a forma que ele utiliza para descompactar o binário que está embutido dentro do executável. Ele abre o binário original e procura pelo identificador “daosd7asdyasiduasydasuidgvas”, que marca o início do binário criptografado e também é utilizado como chave para descriptografar o conteúdo.
O conteúdo é descriptografado pelo código que está representado in-line e executado utilizando a função CallWindowProc, retornando então o conteúdo do arquivo final.
Este conteúdo será escrito para a memória do processo do AutoIt, fazendo com que ele nunca seja escrito em disco. Esta técnica funciona de uma forma similar ao comportamento de um packer, complicando a análise do binário malicioso.
O binário final tem objetivo de monitorar o acesso aos navegadores do usuário capturando logins e credenciais para acesso aos principais bancos brasileiros.
Abaixo uma lista de strings descriptografadas dentro do executável:
Após todo este processo, ainda temos o outro arquivo que foi baixado junto com o binário em AutoIt. Este segundo binário se encarrega de instalar uma extensão hospedada na Chrome Store.
Uma particularidade desta extensão é que, se você fizer o download do Chrome Store, ela não tem conteúdo malicioso, é apenas um Hello World conforme a imagem abaixo:
Porém, como ela possui as permissões necessárias para monitorar a URL acessada, o malware modifica o conteúdo da extensão após a instalação, inserindo um conteúdo malicioso.
Após desofuscar, é possível identificar algumas strings relacionadas a ataques direcionados a boletos bancários.
Contactamos a equipe do Google, a empresa esclareceu que o item não pode ser removido da Chrome Store, pois a versão atual não possui nenhum código malicioso. Este tipo de ataque que reescreve a extensão já é conhecido pela empresa e a solução será liberada na versão 38 do Google Chrome.
"Golpe do @", o novo golpe descoberto com o dfndr security já tem mais de…
Empresa foi convidada a colaborar na construção do relatório “O impacto e futuro da Inteligência…
Conheça o novo golpe que se aproveita do maior evento esportivo do mundo
Modalidade de phishing se tornou a campeã de detecções em 2022, acumulando mais de 5…
Golpe do Auxílio, criminosos estão utilizando indevidamente o nome do programa e prometem transferência em…
Presente nas principais redes sociais, perfis do ‘Robô do PIX’ induzem pessoas a acessarem links…