Desde o final do ano passado, começamos a rastrear uma nova campanha maliciosa para distribuir um Trojan bancário. Os atacantes concentraram-se em comprometer empresas russas, ou seja, utilizadores empresariais. A campanha maliciosa esteve ativa durante pelo menos um ano e, além do Trojan bancário, os atacantes recorreram a diversas outras ferramentas de software. Isso inclui um carregador especial empacotado usando e spyware, disfarçado como o conhecido software legítimo Yandex Punto. Depois que os invasores conseguem comprometer o computador da vítima, eles instalam um backdoor e, em seguida, um Trojan bancário.
Para o malware, os invasores usaram vários certificados digitais válidos (na época) e métodos especiais para contornar os produtos antivírus. A campanha maliciosa teve como alvo um grande número de bancos russos e é de particular interesse porque os atacantes utilizaram métodos que são frequentemente utilizados em ataques direcionados, ou seja, ataques que não são motivados apenas por fraude financeira. Podemos notar algumas semelhanças entre esta campanha maliciosa e um grande incidente que recebeu grande publicidade anteriormente. Estamos falando de um grupo cibercriminoso que utilizou um Trojan bancário /.
Os invasores instalaram malware apenas nos computadores que usavam o idioma russo no Windows (localização) por padrão. O principal vetor de distribuição do Trojan era um documento do Word com um exploit. , que foi enviado como anexo ao documento. As capturas de tela abaixo mostram a aparência desses documentos falsos. O primeiro documento intitula-se “Fatura nº 522375-FLORL-14-115.doc”, e o segundo “kontrakt87.doc”, é uma cópia do contrato de prestação de serviços de telecomunicações da operadora móvel Megafon.
Arroz. 1. Documento de phishing.
Arroz. 2. Outra modificação do documento de phishing.
Os seguintes factos indicam que os atacantes tinham como alvo empresas russas:
- distribuição de malware usando documentos falsos sobre o tema especificado;
- as táticas dos invasores e as ferramentas maliciosas que utilizam;
- links para aplicativos de negócios em alguns módulos executáveis;
- nomes de domínios maliciosos que foram usados nesta campanha.
Ferramentas de software especiais que os invasores instalam em um sistema comprometido permitem que eles obtenham controle remoto do sistema e monitorem a atividade do usuário. Para realizar essas funções, eles instalam um backdoor e também tentam obter a senha da conta do Windows ou criar uma nova conta. Os invasores também recorrem aos serviços de um keylogger (keylogger), um ladrão de área de transferência do Windows e software especial para trabalhar com cartões inteligentes. Este grupo tentou comprometer outros computadores que estavam na mesma rede local do computador da vítima.
Nosso sistema de telemetria ESET LiveGrid, que nos permite rastrear rapidamente estatísticas de distribuição de malware, nos forneceu estatísticas geográficas interessantes sobre a distribuição de malware usado pelos invasores na campanha mencionada.
Arroz. 3. Estatísticas sobre a distribuição geográfica do malware utilizado nesta campanha maliciosa.
Instalando malware
Depois que um usuário abre um documento malicioso com exploração em um sistema vulnerável, um downloader especial empacotado usando NSIS será baixado e executado lá. No início de seu trabalho, o programa verifica no ambiente Windows a presença de depuradores ou a execução no contexto de uma máquina virtual. Ele também verifica a localização do Windows e se o usuário visitou os URLs listados abaixo na tabela do navegador. APIs são usadas para isso FindFirst/PróximoUrlCacheEntry e a chave de registro SoftwareMicrosoftInternet ExplorerTypedURLs.
O bootloader verifica a presença dos seguintes aplicativos no sistema.
A lista de processos é verdadeiramente impressionante e, como podem ver, não inclui apenas aplicações bancárias. Por exemplo, um arquivo executável chamado “scardsvr.exe” refere-se a software para trabalhar com cartões inteligentes (leitor Microsoft SmartCard). O próprio Trojan bancário inclui a capacidade de trabalhar com cartões inteligentes.
Arroz. 4. Diagrama geral do processo de instalação do malware.
Se todas as verificações forem concluídas com êxito, o carregador baixa um arquivo especial (arquivo) do servidor remoto, que contém todos os módulos executáveis maliciosos usados pelos invasores. É interessante notar que dependendo da execução das verificações acima, os arquivos baixados do servidor C&C remoto podem ser diferentes. O arquivo pode ou não ser malicioso. Se não for malicioso, ele instala a barra de ferramentas do Windows Live para o usuário. Muito provavelmente, os invasores recorreram a truques semelhantes para enganar sistemas automáticos de análise de arquivos e máquinas virtuais nas quais arquivos suspeitos são executados.
O arquivo baixado pelo downloader NSIS é um arquivo 7z que contém vários módulos de malware. A imagem abaixo mostra todo o processo de instalação deste malware e seus diversos módulos.
Arroz. 5. Esquema geral de funcionamento do malware.
Embora os módulos carregados tenham finalidades diferentes para os invasores, eles são empacotados de forma idêntica e muitos deles foram assinados com certificados digitais válidos. Encontramos quatro desses certificados que os invasores usaram desde o início da campanha. Após nossa reclamação, esses certificados foram revogados. É interessante notar que todos os certificados foram emitidos para empresas registradas em Moscou.
Arroz. 6. Certificado digital usado para assinar o malware.
A tabela a seguir identifica os certificados digitais que os invasores usaram nesta campanha maliciosa.
Quase todos os módulos maliciosos usados pelos invasores possuem um procedimento de instalação idêntico. Eles são arquivos 7zip autoextraíveis protegidos por senha.
Arroz. 7. Fragmento do arquivo em lote install.cmd.
O arquivo .cmd em lote é responsável por instalar malware no sistema e lançar várias ferramentas de ataque. Se a execução exigir a falta de direitos administrativos, o código malicioso usará vários métodos para obtê-los (ignorando o UAC). Para implementar o primeiro método, são usados dois arquivos executáveis chamados l1.exe e cc1.exe, especializados em contornar o UAC usando o Código-fonte do Carberp. Outro método baseia-se na exploração da vulnerabilidade CVE-2013-3660. Cada módulo de malware que requer escalonamento de privilégios contém uma versão de 32 e 64 bits da exploração.
Ao acompanhar esta campanha, analisamos vários arquivos carregados pelo downloader. O conteúdo dos arquivos variava, o que significa que os invasores poderiam adaptar módulos maliciosos para diferentes finalidades.
Comprometimento do usuário
Como mencionamos acima, os invasores usam ferramentas especiais para comprometer os computadores dos usuários. Essas ferramentas incluem programas com nomes de arquivos executáveis mimi.exe e xtm.exe. Eles ajudam os invasores a assumir o controle do computador da vítima e se especializam na execução das seguintes tarefas: obtenção/recuperação de senhas de contas do Windows, habilitação do serviço RDP, criação de uma nova conta no sistema operacional.
O executável mimi.exe inclui uma versão modificada de uma conhecida ferramenta de código aberto . Esta ferramenta permite obter senhas de contas de usuários do Windows. Os invasores removeram do Mimikatz a parte responsável pela interação do usuário. O código executável também foi modificado para que, quando iniciado, o Mimikatz seja executado com os comandos privilégio::debug e sekurlsa:logonPasswords.
Outro arquivo executável, xtm.exe, inicia scripts especiais que habilitam o serviço RDP no sistema, tentam criar uma nova conta no sistema operacional e também alteram as configurações do sistema para permitir que vários usuários se conectem simultaneamente a um computador comprometido via RDP. Obviamente, estas etapas são necessárias para obter controle total do sistema comprometido.
Arroz. 8. Comandos executados por xtm.exe no sistema.
Os invasores usam outro arquivo executável chamado impack.exe, que é usado para instalar software especial no sistema. Este software é chamado LiteManager e é usado por invasores como backdoor.
Arroz. 9. Interface LiteManager.
Uma vez instalado no sistema de um usuário, o LiteManager permite que invasores se conectem diretamente a esse sistema e o controlem remotamente. Este software possui parâmetros de linha de comando especiais para sua instalação oculta, criação de regras especiais de firewall e lançamento de seu módulo. Todos os parâmetros são usados pelos invasores.
O último módulo do pacote de malware usado pelos invasores é um programa de malware bancário (banqueiro) com o nome de arquivo executável pn_pack.exe. Ela é especialista em espionar o usuário e é responsável por interagir com o servidor C&C. O banqueiro é lançado usando o software Yandex Punto legítimo. Punto é usado por invasores para lançar bibliotecas DLL maliciosas (método DLL Side-Loading). O próprio malware pode executar as seguintes funções:
- rastrear as teclas digitadas no teclado e o conteúdo da área de transferência para sua posterior transmissão a um servidor remoto;
- liste todos os cartões inteligentes presentes no sistema;
- interagir com um servidor C&C remoto.
O módulo de malware, responsável por realizar todas essas tarefas, é uma biblioteca DLL criptografada. Ele é descriptografado e carregado na memória durante a execução do Punto. Para executar as tarefas acima, o código executável da DLL inicia três threads.
O fato de os invasores terem escolhido o software Punto para seus propósitos não é uma surpresa: alguns fóruns russos fornecem abertamente informações detalhadas sobre tópicos como o uso de falhas em software legítimo para comprometer os usuários.
A biblioteca maliciosa usa o algoritmo RC4 para criptografar suas strings, bem como durante interações de rede com o servidor C&C. Ele entra em contato com o servidor a cada dois minutos e transmite para lá todos os dados que foram coletados no sistema comprometido durante esse período.
Arroz. 10. Fragmento de interação de rede entre o bot e o servidor.
Abaixo estão algumas das instruções do servidor C&C que a biblioteca pode receber.
Em resposta ao recebimento de instruções do servidor C&C, o malware responde com um código de status. É interessante notar que todos os módulos do banqueiro que analisamos (o mais recente com data de compilação de 18 de janeiro) contêm a string “TEST_BOTNET”, que é enviada em cada mensagem ao servidor C&C.
Conclusão
Para comprometer os usuários corporativos, os invasores comprometem, no primeiro estágio, um funcionário da empresa, enviando uma mensagem de phishing com um exploit. Em seguida, uma vez instalado o malware no sistema, eles usarão ferramentas de software que os ajudarão a expandir significativamente sua autoridade no sistema e a realizar tarefas adicionais: comprometer outros computadores na rede corporativa e espionar o usuário, bem como as transações bancárias que ele realiza.
Fonte: habr.com