Dimnie é o nome de uma nova família de malware relatada recentemente que está voando sob o radar por mais de três anos, pesquisadores da Palo Alto Networks dizer.
Visão geral técnica do Dimnie Malware
O malware estava atacando desenvolvedores de código aberto por meio de e-mails de phishing em janeiro 2017, e foi assim que foi descoberto. Os ataques envolveram a distribuição de um arquivo .doc contendo código de macro incorporado para executar um comando do PowerShell. O objetivo final era o download e execução de um arquivo malicioso.
relacionado: Latentbot - o backdoor avançado com recursos furtivos
Os pesquisadores descobriram que as primeiras amostras de malware Dimnie datam do início 2014. A peça permaneceu sem ser detectada por muito tempo por causa do C furtivo&Métodos C. Naquela época, Dimnie teve como alvo falantes de russo, o que também o ajudou a voar sob o radar por mais de três anos.
Na inspeção inicial, tudo parece seguir a mesma fórmula de muitas campanhas de malware “tradicionais”: isca de e-mail, anexo malicioso, macro, Downloader PowerShell, e, finalmente, uma carga útil binária. Examinar as comunicações da carga útil nos fez levantar nossas sobrancelhas.
A campanha mais recente tornou-se global e pode baixar mais malware com o objetivo de roubar informações.
Essencialmente, Dimnie serve como um downloader e tem um design modular contendo várias funcionalidades de roubo de informações. Cada módulo é injetado na memória dos principais processos do Windows, o que torna a análise ainda mais complicada, pesquisadores explicam.
Ao examinar a comunicação de Dimnie com seu C&servidor C, os pesquisadores descobriram que ele emprega solicitações de proxy HTTP para o serviço Google PageRank, um serviço que não é mais público.
Dimnie usa esse recurso para criar uma solicitação de proxy HTTP supostamente legítima para um serviço do Google. Contudo, o serviço Google PageRank (toolbarqueries.google.com) foi lentamente eliminado desde 2013 e a partir de 2016 não está mais aberto ao público. Portanto, o URI absoluto na solicitação HTTP é para um serviço inexistente e o servidor não está agindo como um proxy. Esta solicitação aparentemente compatível com RFC é apenas camuflagem.
relacionado: DiamondFox Botnet rouba informações financeiras
além do que, além do mais, o tráfego HTTP revelou que o malware usa uma chave AES para descriptografar cargas previamente criptografadas via AES 256 no modo ECB.