0
0
O novo carregador de malware utiliza técnicas de virtualização ofuscadas para evitar a detecção
Operadores de ameaças foram rastreados executando ataques de malvertising, o uso de publicidade online para distribuir carregadores de malware .NET virtualizados, apelidados de “MalVirt”. De acordo com um comunicado da SentinelOne, o novo carregador de malware utiliza técnicas de virtualização ofuscadas para evitar a detecção.
“Os carregadores de malware são implementados em .NET e usam virtualização, com base no protetor de virtualização KoiVM de aplicativos .NET, para ofuscar sua implementação e execução”, diz o relatório técnico. “Embora popular para ferramentas de hacking e cracks, o uso da virtualização KoiVM não costuma ser visto como um método de ofuscação utilizado em crimes cibernéticos”.
No artigo técnico, o pesquisador sênior de ameaças da SentinelOne, Aleksandar Milenkoski, também explicou que os carregadores MalVirt estão distribuindo malware da família Formbook. “Entre as cargas que os carregadores MalVirt distribuem, identificamos o malware infostealer da família Formbook como parte de uma campanha em andamento”, diz o comunicado da empresa.
Do ponto de vista técnico, o Formbook — e sua versão atualizada chamada XLoader — é um infostealer com vários recursos, incluindo keylogging, roubo de captura de tela, roubo de web e outras credenciais e implantação de ferramentas adicionais de malware. “Por exemplo, uma das marcas registradas do XLoader é seu intrincado disfarce do tráfego C2”, escreveu Milenkoski.
Um caso do malware usado para ocultar o tráfego de comando e controle (C&C) real e evitar as detecções de rede foi observado enviando beacons para servidores C&C iscas aleatórios, localizados em diferentes provedores de hospedagem legítimos, como Azure, Tucows, Choopa e Namecheap.
O pesquisador de segurança da SentinelOne também disse que, embora o Formbook e o XLoader tenham sido distribuídos por e-mails de phishing e “malspam” por meio de documentos do Office habilitados para macro no passado, a nova campanha do MalVirt sugere uma mudança para que esse malware seja distribuído por malvertising.
“Como resposta ao bloqueio de macros do Office por padrão da Microsoft em documentos da Internet, os agentes de ameaças recorreram a métodos alternativos de distribuição de malware – mais recentemente, publicidade maliciosa”, explicou Milenkoski. “Dado o enorme tamanho do público que os agentes de ameaças podem alcançar por meio de malvertising, esperamos que o malware continue sendo distribuído usando esse método”, finalizou.
FONTE: CISO ADVISOR