Indícios mostram cooperação entre criadores de trojans bancários na América Latina

Pesquisadores da ESET descobriram diversos indícios que mostram a estreita cooperação existente entre os criadores de diversos trojans bancários que estão direcionados à América Latina.

Pesquisadores da ESET descobriram diversos indícios que mostram a estreita cooperação existente entre os criadores de diversos trojans bancários que estão direcionados à América Latina.

A ESET publicou um white paper com detalhes sobre a ligação existente entre várias famílias de trojans bancários latino-americanos. O documento também foi publicado pela Virus Bulletin.

Durante muito tempo, os trojans bancários latino-americanos foram considerados um grupo de malware. Pesquisadores da ESET descobriram que esse não é o caso e que, apesar de terem muito em comum, podemos verificar variadas famílias entre os trojans bancários na América Latina. No ano passado, iniciamos a publicação de uma série de artigos nos quais analisamos as ações de diferentes famílias de trojans bancários que estão direcionados a usuários da América Latina. Os artigos estão enfocados nos aspectos mais importantes e interessantes dessas famílias. Até o momento e como parte dessa série, desmascaramos as seguintes famílias de trojans bancários: Amavaldo, Casbaneiro, Mispadu, Guildma, Grandoreiro e Mekotio. Os próximos artigos serão sobre Krachulka, Lokorrito, Numando, Vadokrist e Zumanek.

Nesse novo white paper, analisamos essas famílias, mas desde outra perspectiva. Em vez de focar nos detalhes que cada família apresenta e destacar suas características exclusivas, nos enfocamos no que elas têm em comum. Se você tem acompanhado nossa série, deve ter notado algumas semelhanças entre várias dessas famílias de trojans bancários, como o uso do mesmo – e raro – algoritmo para criptografar strings ou semelhantes algoritmos de geração de domínio (DGA , por sua sigla em inglês) para obter os endereços dos servidores C&C.

As primeiras semelhanças que detectamos estão na implementação desses trojans bancários. A semelhança mais óbvia de todas está relacionada à implementação quase idêntica dos componentes principais dos trojans, como o envio de notificações ao operador, a verificação periódica das janelas ativas de acordo com o nome ou título, e os ataques por meio de pop-ups falsos cuidadosamente projetados com o objetivo de obter informações confidenciais das vítimas. Além disso, essas famílias de malware compartilham bibliotecas raras de terceiros, algoritmos de criptografia de strings e técnicas de ofuscação de strings e binários.

No entanto, as semelhanças não param por aí. Ao analisar as cadeias de distribuição dessas famílias de malware, percebemos que elas também compartilham a mesma lógica: geralmente procuram um marcador (um objeto, como um arquivo ou um valor de chave de registro que é usado para indicar que a máquina já foi comprometida) e baixam dados em arquivos ZIP. Além disso, observamos cadeias de distribuição idênticas terminando com a distribuição de vários trojans bancários latino-americanos. Também é importante mencionar que, desde 2019, a grande maioria dessas famílias de malware passou a usar o Windows Installer (arquivos MSI) como parte da primeira etapa da cadeia de distribuição.

Os trojans bancários latino-americanos também compartilham métodos de execução. Eles geralmente trazem suas próprias ferramentas compactadas nos arquivos ZIP mencionados anteriormente. Os dois métodos mais comuns são carregamento lateral de DLL e abuso de um interpretador AutoIt legítimo. Além disso, ao usar o primeiro dos métodos, várias famílias abusam dos mesmos aplicativos vulneráveis ​​para esse fim (o chamado Bring Your Own Vulnerable Software).

O termo “trojan bancário latino-americano” se deve a região na qual esses trojans bancários estão mais enfocados: a América Latina. No entanto, desde o final de 2019, vemos que vários deles adicionaram Espanha e Portugal à lista de países alvo. Além disso, como se fosse outro movimento coordenado, diferentes famílias usaram modelos de e-mail de spam semelhantes em suas últimas campanhas.

Considerando o número de semelhanças, poderíamos esperar que eles também compartilhem os pop-ups falsos usados por esses trojans bancários. Mas, na verdade, parece que ocorre o contrário. Embora os pop-ups tenham uma aparência semelhante (uma vez que são projetados para enganar clientes das mesmas instituições financeiras), não detectamos o uso de pop-ups idênticos por parte de várias dessas famílias.

Como não acreditamos que seja possível que criadores de malware independentes tenham tantas ideias em comum e não acreditamos que um grupo seja responsável por manter todas essas famílias de malware, concluímos que esses são vários cibercriminosos cooperando uns com os outros. Você pode verificar informações mais detalhadas sobre as semelhanças que identificamos no white paper.

Técnicas de MITRE ATT&CK

Na tabela abaixo (em inglês), que é um agregado de técnicas baseadas na tabela padrão MITER ATT & CK, ilustramos muitas das características compartilhadas pelos trojans bancários latino-americanos. Não se trata de uma lista muito longa, mas está enfocada nas semelhanças. Confira:

  • phishing é o vetor de ataque mais comum
  • dependem de linguagens de scripting, principalmente VBScript
  • a chave de execução do registro ou pasta inicial são os métodos de persistência mais comuns
  • de alguma forma, todos eles ofuscam payloads ou dados de configuração
  • favorece o carregamento lateral de DLL
  • para roubar credenciais, eles tendem a usar pop-ups ou keyloggers falsos
  • grande esforço para coletar capturas de tela e rastrear softwares de segurança
  • preferem algoritmos de criptografia personalizados sobre os estabelecidos
  • não filtram todos os dados coletados para o servidor C&C, mas também usam locais diferentes

Nota: Essa tabela foi criada usando a versão 7 do framework do MITER ATT & CK.

TacticIDNameAmavaldoCasbaneiroGrandoreiroGuildmaKrachulkaLokorritoMekotioMispaduNumandoOusabanVadokristZumanek
Initial AccessT1566.001Phishing: Spearphishing Attachment
T1566.002Phishing: Spearphishing Link
ExecutionT1059.005Command and Scripting Interpreter: Visual Basic
T1059.007Command and Scripting Interpreter: JavaScript/JScript
T1059.003Command and Scripting Interpreter: Windows Command Shell
T1059.001Command and Scripting Interpreter: PowerShell
T1047Windows Management Instrumentation
T1059Command and Scripting Interpreter
PersistenceT1547.001Boot or Logon Autostart execution: Registry Run Keys / Startup Folder
T1053.005Scheduled Task/Job: Scheduled Task
Defense EvasionT1140Deobfuscate/Decode Files or Information
T1574.002Hijack Execution Flow: DLL Side-Loading
T1497.001Virtualization/Sandbox Evasion: System Checks
T1218.007Signed Binary Proxy Execution: Msiexec
T1036.005Masquerading: Match Legitimate Name or Location
T1197BITS Jobs
T1112Modify Registry
T1218.011Signed Binary Proxy Execution: Rundll32
T1027.001Obfuscated Files or Information: Binary Padding
T1220XSL Script Processing
Credential AccessT1056.002Input Capture: GUI Input Capture
T1056.001Input Capture: Keylogging
T1555.003Credentials from Password Stores: Credentials from Web Browsers
T1552.001Unsecured Credentials: Credentials In Files
DiscoveryT1010Application Window Discovery
T1518.001Software Discovery: Security Software Discovery
T1082System Information Discovery
T1083File and Directory Discovery
T1057Process Discovery
CollectionT1113Screen Capture
T1115Clipboard Data
Command and ControlT1132.002Data Encoding: Non-Standard Encoding
T1571Non-Standard Port
T1132.001Data Encoding: Standard Encoding
T1568.002Dynamic Resolution: Domain Generation Algorithms
T1568.003Dynamic Resolution: DNS Calculation
ExfiltrationT1048Exfiltration Over Alternative Protocol
T1041Exfiltration Over C2 Channel

Como podemos ver, os trojans bancários latino-americanos, embora tenham suas diferenças, contam com muitas características em comum.

Cadastre-se para receber por e-mail todas as atualizações sobre novos artigos que publicamos em nossa seção referente à Crise na Ucrânia.

Newsletter

Discussão