Os pesquisadores de segurança descobriram um novo ataque malicioso que envolve explorações conhecidas com o objetivo de contornar as soluções de segurança. A campanha está espalhando ladrões de informação, ou pedaços de spyware sofisticado. Mais especificamente, os invasores estão espalhando um sofisticado Trojan que rouba informações, conhecido como Agente Tesla, bem como o ladrão de informações Loki.
Campanhas maliciosas do agente Tesla – atualização agosto 2019
De acordo com novos dados, o malware do Agente Tesla é atualmente empregando esteganografia em suas últimas campanhas de malspam. A esteganografia é a prática de ocultar um arquivo, mensagem, imagem, ou vídeo dentro de outro arquivo, mensagem, imagem, ou vídeo. De fato, esteganografia é um velho truque na distribuição de malware, e significa literalmente ocultar o código em uma imagem normal que, na maioria dos casos, não pode ser verificada quanto a malware.
Detalhes técnicos sobre o ataque sofisticado, Evasão da detecção de AV
Pesquisadores de segurança da Cisco Talos detectou “um documento altamente suspeito que não foi detectado por soluções antivírus comuns”.
Os invasores por trás dessa nova forma de ataque implantaram uma cadeia de exploit bem conhecida. Contudo, foi modificado de tal forma que não é detectado por soluções de segurança.
o Agente Tesla Trojan é projetado para roubar informações de login de vários softwares, como o Google Chrome, Mozilla Firefox, Microsoft Outlook, entre outros. O Trojan também pode capturar imagens, registro de webcams, e permitir que os invasores instalem malware adicional em sistemas infectados, os pesquisadores disseram.
O Trojan também é capaz de realizar outras atividades maliciosas, como monitorar e coletar entradas do teclado, área de transferência do sistema, screenshots tomada, e exfiltrar informações confidenciais coletadas. Contudo, o Agente Tesla não é o único malware distribuído nesta campanha - Loki, outro ladrão de informação, também é jogado nas máquinas das vítimas.
Duas explorações do Microsoft Word abusadas: CVE-2017-0199 e CVE-2017-11882
Quanto às façanhas que são usadas pelos adversários – duas explorações públicas para vulnerabilidades do Microsoft Word CVE-2017-0199 e CVE-2017-11882 são usados no cenário de ataque malicioso.
A exploração CVE-2017-0199, em particular, estava usado em ataques em 2017 quando os agentes de ameaças abusaram dos arquivos do Microsoft Office para fornecer várias variedades de malware. A única coisa sobre os incidentes é que eles usaram uma nova estratégia explorando um recurso relativamente novo que foi integrado ao pacote Microsoft Office no ano passado.
CVE-2017-11882 é outro conhecido exploit do Microsoft Office que foi detectado em campanhas maliciosas em setembro deste ano, que estavam entregando o Trojan CobInt.
O arquivo .DOCX e o arquivo RTF
A campanha atual, descoberto e analisado por Cisco Talos, começa com o download de um Microsoft malicioso .arquivo DOCX. O arquivo tem instruções para baixar um determinado arquivo RTF do documento. Esta é a atividade que não é detectada pelos produtos antivírus.
De acordo com os pesquisadores:
No momento em que o arquivo foi analisado, ele quase não teve detecções no site de verificação antivírus multimotor VirusTotal. Apenas dois de 58 programas antivírus encontraram algo suspeito. Os programas que sinalizaram esta amostra estavam apenas avisando sobre um arquivo RTF formatado incorretamente.
O formato Rich Text, ou RTF para abreviar, é um formato de arquivo de documento proprietário com especificação publicada desenvolvida pela Microsoft Corporation da 1987 até 2008 para intercâmbio de documentos multiplataforma com produtos da Microsoft.
Os arquivos RTF não suportam nenhuma linguagem de macro, mas eles suportam o Microsoft Object Linking and Embedding (OLE) objetos e objetos de assinante do Macintosh Edition Manager por meio do objeto '’ palavra de controle. O usuário pode vincular ou incorporar um objeto do mesmo formato ou de um formato diferente ao documento RTF.
Em outras palavras, é possível para os usuários vincular ou incorporar objetos ao arquivo RTF, mas a ofuscação precisa ser adicionada. Também deve ser observado que qualquer coisa que o arquivo RTF não reconheça é geralmente ignorada.
Os pesquisadores não conseguiram entender completamente como o agente da ameaça alterou a exploração manualmente, ou se eles usaram uma ferramenta para produzir o shellcode. “De qualquer jeito, isso mostra que o ator ou suas ferramentas têm [a] capacidade de modificar o código assembler de tal forma que os bytes opcode resultantes pareçam completamente diferentes, mas ainda exploram a mesma vulnerabilidade.”
Os especialistas em segurança também esperam ver esta nova técnica incluída em outras campanhas maliciosas que fornecem outras variedades de malware.
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga: