Scripts maliciosos se fortalecem no Brasil

Scripts maliciosos se fortalecem no Brasil

Quando observamos o mapa do malware no Brasil há um ano, notamos que as duas principais ameaças eram os “trojans bancários” e os “downloaders”, que instalavam trojans bancários. Hoje a situação continua sendo a mesma, mas com um tempero especial: enquanto que antes as ameaças eram arquivos tipo .exe do Windows, hoje em dia existem

Quando observamos o mapa do malware no Brasil há um ano, notamos que as duas principais ameaças eram os “trojans bancários” e os “downloaders”, que instalavam trojans bancários. Hoje a situação continua sendo a mesma, mas com um tempero especial: enquanto que antes as ameaças eram arquivos tipo .exe do Windows, hoje em dia existem

Quando observamos o mapa do malware no Brasil há um ano, notamos que as duas principais ameaças eram os “trojans bancários” e os “downloaders”, que instalavam trojans bancários. Hoje a situação continua sendo a mesma, mas com um tempero especial: enquanto que antes as ameaças eram arquivos tipo .exe do Windows, hoje em dia existem arquivos .jar do Java, scripts do Visual Basic Script e do Javascript no top 10 das ameaças.

A seguir vamos analisar esta mudança da plataforma dos cibercriminosos, iniciando por uma ameaça em Javascript.

Para entender a situação, veremos o top 10 das ameaças no Brasil para os primeiros cinco meses de 2016. A ameaça que se encontra em primeiro lugar consiste em uma detecção genérica para scripts ofuscados. O payload final pode variar, mas veremos a conexão entre esta detecção e os trojans bancários. Não vamos nos deter em explicar todas estas ameaças, mas vale a pena notar a quantidade de linguagens ou plataformas diferentes utilizadas no brasil atualmente.

11-8-2016 9-28-11 a- m-

Em particular, no Laboratório da ESET América Latina temos observado uma campanha na qual os cibercriminosos estão hospedando as ameaças no serviço de cloud do MEO, em Portugal; na maioria dos casos estamos falando de trojans bancários. A propagação se realiza através de emails com um link para descarregar o malware.

Podemos utilizar um desses arquivos como exemplo: Boleto_NFe_1405201421.PDF.js, detectado como VBS/Obfuscated.G pelas soluções da ESET.

A pesar do código do script se encontrar ofuscado, a criptografía utilizada é bem mais fácil de ser revertida. Inclusive sem descriptografa-la, já podemos ver é realizado um download de um suposto arquivo .jpg na pasta ProgramData com o nome de flashplayer.exe, o cual em seguida é executado.

scripts-en-brasil2

O arquivo, flashplayer.exe, é um Downloader de trojans bancários: baixa e deixa em execução um terceiro executável com nome Edge.exe. Este é detectado como uma variante do Win32/Spy.KeyLogger.NDW, embora não apenas armazene os eventos do teclado, como também é um banker completo. Entre funcionalidade está a de obter o endereço do site web que o usuário está navegando e comparar com entidades bancárias, usando DDE.

A diferença é que desta vez, o trojan inclui um código para uma maior quantidade de navegadores:

codigonavegadores

Os strings estão criptografados com uma forma de XOR, abaixo você pode ver algumas dessas. Fica evidente que a ameaça tenta roubar credenciais de acesso a sites bancários do Brasil.

11-8-2016 9-43-26 a- m-

Assim podemos ver como está se desenvolvendo o cibercrime no Brasil, migrando para novas plataformas e utilizando diversas linguagens de programação para tentar se livrar das detecções. Os objetivos, no entanto, não mudaram muito: o roubo de credenciais bancários é o que mais lucro tem gerado e é, portanto, o que mais continuam utilizando.

 

Amostras analisadas

11-8-2016 9-37-27 a- m-

Imagem: ©Ana Guzzo/Flickr

Discussão