Uma parte nova de, o que parece ser, altamente malwares direcionados foi descoberto por pesquisadores da AlienVault. A nova cepa de malware, apelidado GzipDe e, provavelmente, utilizados em campanhas de ciber-espionagem, usa um artigo sobre a próxima Cúpula da Organização de Cooperação de Xangai.
Mais sobre a operação de malware GzipDe
Cerca de uma semana atrás, pesquisadores detectaram um novo documento malicioso direcionado a esta área. Pelo visto, o documento incluiu um pedaço de texto retirado do relatório como um engodo.
AlienVault descobriu um documento do Word com armadilhas eletrônicas no VirusTotal, que foi publicado por um usuário do Afeganistão. Foi assim que eles descobriram o malware.
O documento bloqueado acima mencionado (.arquivo doc) é a primeira etapa de uma infecção em vários estágios em que vários servidores e artefatos são implantados. O estágio final da operação maliciosa parece ser a instalação de um backdoor Metasploit. Contudo, isso não é tão interessante quanto o downloader .NET, que usa um método de criptografia personalizado para ofuscar a memória do processo e evitar a detecção de antivírus.
O documento malicioso induziu os usuários a habilitar macros, que uma vez habilitado executou um script Visual Basic. Em seguida, o script executou algum código PowerShell, que posteriormente baixou um executável PE32. O processo terminou com o malware real - GZipDe - os pesquisadores relatado.
GZipDe parece estar codificado em .NET, e é projetado para usar “um método de criptografia personalizado para ofuscar a memória do processo e evitar a detecção de antivírus.” Uma vez que o objetivo inicial do GzipDe é atuar como um downloader, isso significa que o malware irá baixar uma peça mais perigosa de um servidor remoto. Contudo, durante a investigação dos pesquisadores, o servidor remoto estava acabado, o que normalmente encerraria a análise. Contudo, acabou Shodan, o motor de pesquisa IoT, indexou o servidor e até o registrou servindo a uma carga útil Metasploit.
O servidor, 175.194.42[.]8, entrega uma carga útil Metasploit. Ele contém o código do shell para contornar a detecção do sistema (uma vez que parece ter um cabeçalho DOS válido) e uma carga útil do medidor – uma porta dos fundos capaz. Por exemplo, ele pode coletar informações do sistema e entrar em contato com o servidor de comando e controle para receber outros comandos.
além do que, além do mais, o shellcode carrega toda a DLL na memória, permitindo assim que ele opere enquanto nenhuma informação é gravada no disco. Esta operação é conhecida como injeção reflexiva de DLL. Deste ponto, o invasor pode transmitir qualquer outra carga útil para adquirir privilégios elevados e se mover dentro da rede local, os pesquisadores concluíram.