No início deste ano - em março - um malware baseado em macro chamado Bartalex foi detectado. Ataques baseados em macro que exploram o Microsoft Word e Excel continuam ocorrendo, embora a técnica possa ser descrita como "um velho truque" que existe há mais de uma década. Uma nova atividade Bartalex foi detectada recentemente pelo pesquisador de segurança da Rackspace Brad Duncan. Bartalex agora foi empregado para espalhar o malware Pony Loader e o famoso Trojan bancário Dyre.
Bartalex - Pony Loader - Caminho de Contaminação de Dyre
Duncan viu Bartalex proliferando em um documento do Word, vindo do serviço de folha de pagamento ADP. Como acontece com a maioria dos golpes de engenharia social, se as vítimas forem mais cuidadosas ao acessar sua caixa de entrada, eles sempre irão distinguir remetentes fraudulentos de verdadeiros. Dar uma boa olhada no cabeçalho do e-mail é o suficiente para concluir que o ADP não enviou a mensagem. Contudo, se os usuários têm suas macros habilitadas, executar o arquivo na mensagem é suficiente para ativar a ameaça.
A pesquisa de Duncan baseada na análise de tráfego e protocolo de rede indica que a nova linhagem de Bartalex implementa Pony Loader e Dyre. O que ele notou são os dados de certificado geralmente vistos no tráfego SSL causado por Dyre e algumas operações específicas relacionadas a Bartalex e Pony.
Descrição do Pony Loader
O Pony Loader foi introduzido pela primeira vez no mundo cibernético anos atrás. O infame ladrão de informações foi usado para espalhar os cavalos de Troia Zeus e Necurs, assim como Cryptolocker e ransomware Cribit. Pony Loader 2.0 também conhecido como Fareit já foi redesenhado para roubar criptomoedas, como:
→Bitcoin, litecoin, MultiBit, Namecoin, Terracoin, Primecoin, Feathercoin, NovaCoin, MegaCoin, Digitalcoin, Zetacoin, Fastcoin, Tagcoin, Bytecoin, Florincoin, Luckycoin, etc.
Bartalex foi relatado por espalhar Dyre antes, mas de acordo com as evidências, esta é a primeira vez que o Pony Loader o implementa.
Descrição do Trojan Dyre Banking
Pesquisadores da SensorTechForum já descreveram Ataques de Dyre. caro, também conhecido como Dyreza e Dyranges, é um malware projetado exclusivamente para roubar credenciais bancárias. O Trojan tem se concentrado principalmente nos clientes do Bank of America e Citibank, RBS e Natwest no Reino Unido, e Ulster Bank na Irlanda. Os ataques Dyre geralmente começam da mesma maneira - induzindo o usuário a abrir um arquivo PDF anexado corrompido fingindo ser uma fatura. O documento contém explorações de vulnerabilidades no Adobe Reader para que os usuários com versões não corrigidas ou anteriores sejam facilmente visados.
Bartalex - Pony Loader - Dyre Malicious Combination
De acordo com uma vasta pesquisa de segurança, a última cepa de Bartalex se espalhou por meio de milhares de links infectados do Dropbox. Presumivelmente, alguns deles foram usados para implantar o malware Pony Loader e outros - o Trojan Dyre Banking.
Como se manter seguro
Há alguma diferença entre ataques de código malicioso e ataques baseados em macro. O último requer interação do usuário para entregar a carga útil final. Nesse sentido, para limitar a possibilidade de tal ataque, os usuários devem ter cuidado com o seguinte:
- Abrindo suspeito, e-mails inesperados e leitura de documentos anexados.
- Ativando macros por meio de instruções fornecidas em tais documentos.
digitalizador Spy Hunter só irá detectar a ameaça. Se você quiser a ameaça de ser removido automaticamente, você precisa comprar a versão completa da ferramenta anti-malware.Saiba Mais Sobre SpyHunter Anti-Malware Ferramenta / Como desinstalar o SpyHunter