Técnica de packing em AutoIt esconde Bolware no Brasil

Nos últimos meses, percebemos um aumento do número de arquivos recebidos pelo nosso laboratório de análise que estão utilizando scripts em AutoIt para dificultar a identificação do módulo malicioso.

A técnica foi encontrada apenas em malwares brasileiros até o momento, combina diversos códigos disponíveis na internet e é usada para camuflar o binário malicioso. Entenda a ameaça que já infectou mais de 3 mil computadores no País e é instalada em aproximadamente 300 novas máquinas a cada dia.

Em um dos casos analisados, recebemos o seguinte e-mail informando que o título eleitoral foi cancelado provisoriamente, solicitando ao usuário que ele leia o regulamento em anexo.

Ao realizar o download e executar o arquivo baixado, ele começa a realizar o download de alguns outros módulos necessários.

Após descompactado, este primeiro módulo baixado possui um executável que foi gerado utilizando AutoIt. Ao extrair o script usado pelo executável, foi possível identificar que o código estava ofuscado para dificultar a análise e identificação do malware.

Todas as strings utilizadas no script foram encriptadas e a função de descriptografia implementada dentro do código é utilizada para descriptografar o conteúdo ao executar-se. Para facilitar a análise do código, reescrevemos a função em Python e substituímos as chamadas das funções pelo conteúdo retornado. O código final ficou mais simples de ser analisado.

Estudando o código, foi possível identificar que o script carrega o próprio executável, descarrega o conteúdo do mesmo e escreve na área de memória do processo o conteúdo de um outro binário que está embutido no executável. Esta técnica já foi detalhada no post sobre o Bolware.

O que é diferente neste Bolware

O interessante desta amostra é a forma que ele utiliza para descompactar o binário que está embutido dentro do executável. Ele abre o binário original e procura pelo identificador “daosd7asdyasiduasydasuidgvas”, que marca o início do binário criptografado e também é utilizado como chave para descriptografar o conteúdo.

O conteúdo é descriptografado pelo código que está representado in-line e executado utilizando a função CallWindowProc, retornando então o conteúdo do arquivo final.

Este conteúdo será escrito para a memória do processo do AutoIt, fazendo com que ele nunca seja escrito em disco. Esta técnica funciona de uma forma similar ao comportamento de um packer, complicando a análise do binário malicioso.

O que faz este malware

O binário final tem objetivo de monitorar o acesso aos navegadores do usuário capturando logins e credenciais para acesso aos principais bancos brasileiros.

Abaixo uma lista de strings descriptografadas dentro do executável:

Após todo este processo, ainda temos o outro arquivo que foi baixado junto com o binário em AutoIt. Este segundo binário se encarrega de instalar uma extensão hospedada na Chrome Store.

Uma particularidade desta extensão é que, se você fizer o download do Chrome Store, ela não tem conteúdo malicioso, é apenas um Hello World conforme a imagem abaixo:

Porém, como ela possui as permissões necessárias para monitorar a URL acessada, o malware modifica o conteúdo da extensão após a instalação, inserindo um conteúdo malicioso.

Após desofuscar, é possível identificar algumas strings relacionadas a ataques direcionados a boletos bancários.

Contactamos a equipe do Google, a empresa esclareceu que o item não pode ser removido da Chrome Store, pois a  versão atual não possui nenhum código malicioso. Este tipo de ataque que reescreve a extensão já é conhecido pela empresa e a solução será liberada na versão 38 do Google Chrome.