0
0
Os agentes de ameaças estão usando cada vez mais atualizações de software falsas da Microsoft e do Google para tentar esgueirar malware em sistemas de destino.
O exemplo mais recente é “HavanaCrypt”, uma nova ferramenta de ransomware que pesquisadores da Trend Micro descobriram recentemente na natureza disfarçada de aplicativo Google Software Update. O servidor de comando e controle (C2) do malware está hospedado em um endereço IP de hospedagem na Microsoft, o que é um pouco incomum para ransomware, de acordo com a Trend Micro.
Também notáveis, de acordo com os pesquisadores, são as muitas técnicas do HavanaCrypt para verificar se ele está sendo executado em um ambiente virtual; o uso de código do malware do gerenciador de chaves de código aberto KeePass Password Safe durante a criptografia; e seu uso de um . Função de rede chamada “QueueUserWorkItem” para acelerar a criptografia. A Trend Micro observa que o malware é um trabalho em andamento porque não solta uma nota de resgate em sistemas infectados.
HavanaCrypt está entre um número crescente de ferramentas de ransomware e outros malwares que nos últimos meses foram distribuídos na forma de atualizações falsas para Windows 10, Microsoft Exchange e Google Chrome. Em maio, os pesquisadores de segurança viram o ransomware apelidado de “Magniber” fazendo as rodadas disfarçadas de atualizações do Windows 10. No início deste ano, os pesquisadores da Malwarebytes observaram os operadores do Magnitude Exploit Kit tentando enganar os usuários para baixá-lo, vestindo o malware como uma atualização do Microsoft Edge.
Como o Malwarebytes observou na época, as atualizações falsas do Flash costumavam ser um acessório das campanhas de malware baseadas na Web até que a Adobe finalmente aposentou a tecnologia por causa de preocupações de segurança. Desde então, os atacantes têm usado versões falsas de outros produtos de software atualizados com frequência para tentar enganar os usuários a baixar seu malware – com os navegadores sendo um dos mais frequentemente abusados.
Criar atualizações de software falsas é trivial para os atacantes, então eles tendem a usá-las para distribuir todas as classes de malware, incluindo ransomware, ladrões de informações e cavalos de Tróia, diz um analista da Intel 471 que solicitou anonimato. “Um usuário não técnico pode ser enganado por tais técnicas, mas analistas de SOC ou respondedores de incidentes provavelmente não serão enganados”, diz o analista.
Especialistas em segurança há muito tempo notam a necessidade de as organizações terem defesas multicamadas para se defender contra ransomware e outras ameaças. Isso inclui ter controles para detecção e resposta de terminais, recursos de monitoramento de comportamento de usuários e entidades, segmentação de rede para minimizar danos e limitar o movimento lateral, criptografia e forte controle de identidade e acesso – incluindo autenticação multifatorial.
Como os adversários geralmente têm como alvo os usuários finais, também é fundamental que as organizações tenham práticas fortes para educar os usuários sobre riscos de phishing e golpes de engenharia social projetados para levá-los a baixar malware ou seguir links para sites de coleta de credenciais.
Como Funciona o HavanaCrypt
HavanaCrypt é. Malware da rede que usa uma ferramenta de código aberto chamada Obfuscar para ofuscar seu código. Uma vez implantado em um sistema, o HavanaCrypt primeiro verifica se o registro “GoogleUpdate” está presente no sistema e só continua com sua rotina se o malware determinar que o registro não está presente.
O malware passa por um processo de quatro etapas para determinar se a máquina infectada está em um ambiente virtualizado. Primeiro, ele verifica o sistema em busca de serviços como VMWare Tools e vmmouse que as máquinas virtuais normalmente usam. Em seguida, ele procura por arquivos relacionados a aplicativos virtuais, seguidos de uma verificação de nomes de arquivos específicos usados em ambientes virtuais. Por fim, ele compara o endereço MAC dos sistemas infectados com os prefixos de identificação exclusivos normalmente usados nas configurações da máquina virtual. Se alguma das verificações mostrar que a máquina infectada está em um ambiente virtual, o malware termina sozinho, disse a Trend Micro.
Uma vez que o HavanaCrypt determina que não está sendo executado em um ambiente virtual, o malware busca e executa um arquivo em lote de um servidor C2 hospedado em um serviço legítimo de hospedagem da Microsoft. O arquivo em lote contém comandos para configurar o Windows Defender de tal forma que permita ameaças detectadas. O malware também interrompe uma longa lista de processos, muitos dos quais estão relacionados a aplicativos de banco de dados como SQL e MySQL ou a aplicativos de desktop como o Microsoft Office.
As próximas etapas do HavanaCrypt incluem excluir cópias de sombra nos sistemas infectados, excluir funções para restaurar dados e coletar informações do sistema, como o número de processadores que o sistema possui, o tipo de processador, o número do produto e a versão do BIOS. O malware usa a função QueueUserWorkItem e o código do KeePass Password Safe como parte do processo de criptografia.
“QueueUserWorkItem é uma técnica padrão para criar pools de threads”, diz o analista da Intel 471. “O uso de pools de threads acelerará a criptografia dos arquivos na máquina vítima.”
Com o KeePass, o autor do ransomware copiou o código da ferramenta de gerenciamento de senhas e usou esse código em seu projeto de ransomware. “O código copiado é usado para gerar chaves de criptografia pseudoaleatórias”, observa o analista. “Se as chaves de criptografia fossem geradas de maneira previsível e repetível, então seria possível que os pesquisadores de malware desenvolvam ferramentas de descriptografia.”
O uso do atacante de um serviço de hospedagem da Microsoft para o servidor C2 destaca a tendência mais ampla dos atacantes de ocultar a infraestrutura maliciosa em serviços legítimos para evitar a detecção. “Há muita maldade hospedada em ambientes de nuvem hoje, seja Amazon, Google, Microsoft e muitos outros”, diz John Bambenek, principal caçador de ameaças da Netenrich. “A natureza altamente transitória dos ambientes torna os sistemas de reputação inúteis.”
FONTE: DARK READING