Análise da rotina do malware

O malware abusa de dois arquivos legítimos do Windows - a ferramenta de linha de comando wmic.exe e certutil.exe, um programa que gerencia certificados no Windows – para baixar o payload no computador da vítima. O que se deve notar sobre estes arquivos é que eles são usados para baixar outros arquivos como parte da sua funcionalidade, fazendo eles serem sucessíveis à serem utilizados de forma maliciosa.

“Esta ameaça revela uma campanha clássica de phishing. Constatamos mais de 450 empresas que receberam este ataque, resultando em milhares de computadores infectados. Deve-se ter atenção redobrada ao receber e-mails, por mais legítimos que eles pareçam, pois o vetor de ataque mais fácil de ser explorado é o fator humano”, explica Leandro Froes, especialista em cibersegurança na Trend Micro.

Uma vez que o destinatário clica no link incorporado no e-mail fake, ele abrirá uma janela do navegador que solicitará ao usuário que baixe um arquivo ZIP. Logo que baixado e extraído, o usuário receberá um arquivo LNK (detectado como Trojan.LNK.DLOADR.AUSUJM). O arquivo LNK apontará para cmd.exe, que é o responsável por executar o wmic.exe.

Isso permitirá que o wmic.exe baixe e execute comandos de script de um servidor de Comando e Controle (C&C). Isso criará uma cópia do certutil.exe na pasta %temp% com um nome diferente: certis.exe. A próxima etapa da rotina envolve um script que comandará o certis.exe para baixar arquivos de um novo conjunto de servidores C&C, que são recebidos da primeira URL de download. Um dos arquivos baixados é o payload principal - um arquivo DLL (detectado como TSPY_GUILDMA.C) que será executado usando o regsvr32.exe. Os outros arquivos baixados do servidor C&C são usados ​​como um módulo para a rotina principal.

Melhores práticas para se defender deste tipo de ataque:

O uso de arquivos legítimos para adicionar mais camadas de evasão é uma tática comum dos cibercriminosos, o que dificulta para algumas soluções de segurança que lutam para distinguir o uso legítimo dos mal-intencionados. Ainda mais que, segundo análise dos cientistas da Trend Micro, os cibercriminosos por trás disto estão melhorando suas ferramentas e técnicas para serem mais silenciosas e efetivas. No entanto, para impedir que esse ataque ultrapasse seu estágio inicial, a Trend Micro recomenda que os usuários implementem as seguintes práticas:

• Verificar várias vezes a identidade e o endereço de e-mail do remetente. Qualquer endereço de e-mail suspeito que contenha números aleatórios ou textos sem nexo é um indicador de um possível ataque de spam ou phishing.
• Analise o email em busca de erros gramaticais ou ortográficos. E-mails comerciais, especialmente aqueles de grandes organizações ou instituições governamentais, geralmente são feitos profissionalmente e com poucos erros, se houver.
• Evite clicar em links ou baixar arquivos em geral, especialmente se o link ou anexo tiver um nome ou endereço genérico.

Sobre a Trend Micro

A Trend Micro Incorporated, líder global em soluções de segurança cibernética, ajuda a proteger o mundo virtual para o intercâmbio de informações digitais. Nossas soluções inovadoras para consumidores, empresas e órgãos governamentais oferecem segurança em camadas para data centers, ambientes de nuvem, redes e endpoints. Todos os nossos produtos operam juntos para compartilhar informações de ameaças e oferecer recursos de segurança com visibilidade e controle centralizados, gerando uma proteção cada vez mais forte e ágil. Com mais de 6 mil funcionários em mais de 50 países e a inteligência global contra ameaças mais avançada do mundo, a Trend Micro protege o seu mundo conectado. Para saber mais, acesse www.trendmicro.com.