Notícias de dispositivos móveis, gadgets, aplicativos Android

Ataques de malware Bandook assinados contra v√°rios setores industriais

Como uma fênix que renasce das cinzas, Bandook ressuscitou depois de vários anos. Bandook, escrito em Delphi e C++, foi visto pela primeira vez em 2007 como um RAT disponível comercialmente, desenvolvido por um libanês chamado PrinceAli.

Ao longo dos anos, variantes do Bandook vazaram na Web e o malware ficou dispon√≠vel para download p√ļblico.

O Bandook foi apresentado pela √ļltima vez nas campanhas Opera√ß√£o Manul em 2015 e Dark Caracal em 2017. Durante o ano passado, dezenas de variantes assinadas digitalmente do outrora famoso Bandook come√ßaram a reaparecer no cen√°rio de amea√ßas.

Governo, finan√ßas, energia, ind√ļstria alimentar, sa√ļde, educa√ß√£o, TI e institui√ß√Ķes jur√≠dicas s√£o os setores-alvo.

Singapura, Chipre, Chile, Itália, EUA, Turquia, Suíça, Indonésia e Alemanha. Não os locais turísticos, mas os países-alvo.

Considerando que uma grande variedade de setores e pa√≠ses foram visados, suspeita-se que o malware n√£o seja desenvolvido por uma √ļnica entidade, mas por uma infraestrutura ofensiva e esteja a ser vendido a governos e agentes de amea√ßas em todo o mundo.

Estágios da infecção

A cadeia de malware pode ser descrita em cerca de 3 etapas conforme descrito na imagem abaixo:

Est√°gio 1 ‚Äď Documentos de atra√ß√£o

O documento do Microsoft Word alvo consiste em dados de script maliciosos criptografados e um modelo externo que aponta para um documento contendo macros VBA maliciosas.

Este modelo externo é baixado por meio de um serviço da web de encurtamento de URL e redireciona para outro domínio que é controlado pelo invasor, onde o código VBA é executado automaticamente, descriptografa os dados incorporados do documento de atração original e descarta os dados decodificados em dois arquivos em a pasta do usuário local: fmx.ps1 e sdmc.jpg

N√≥s recomendamos:  Como desbloquear o Chromebook sem senha

Exemplos de nomes de arquivos de documentos:

  • Remessa da Mal√°sia.docx
  • Remessa para Jacarta.docx
  • cont√™ineres malta.docx
  • Documentos certificados.docx
  • Documentos autenticados.docx
  • extrato banc√°rio.docx
  • passaporte e documentos.docx
  • Rascunho do caso.docx
  • digitaliza√ß√£o de documentos.docx

Est√°gio 2 ‚Äď Carregador Powershell

Após o primeiro estágio, fmx.ps1 e sdmc.jpg chamam fmx.ps1, que é um script curto do PowerShell que decodifica e executa um PowerShell codificado em base64 armazenado em sdmc.jpg.

Agora, o script PowerShell decodificado baixa um arquivo zip contendo quatro arquivos de um servi√ßo de nuvem como Dropbox, Bitbucket ou um bucket S3. O arquivo zip √© armazenado na pasta P√ļblica do usu√°rio e os quatro arquivos s√£o extra√≠dos localmente.

O 3 os arquivos a.png, b.png e untitled.png geram a carga √ļtil do malware. O arquivo untitled.png √© na verdade uma imagem v√°lida que cont√©m uma fun√ß√£o RC4 oculta codificada nos valores RGB dos pixels, criada usando uma ferramenta conhecida chamada invocar-PSImage.

Por fim, o script do PowerShell executa o malware, abre draft.docx e exclui todos os artefatos anteriores da pasta P√ļblica.

draft.docx é um documento benigno que convence a vítima de que o documento não está mais disponível e que a execução geral foi bem-sucedida.

O documento visto após a infecção:

Est√°gio 3 ‚Äď Carregador Bandook

A carga final √© uma variante do Bandook que come√ßa com um carregador para criar uma nova inst√Ęncia de um processo do Internet Explorer e injetar uma carga maliciosa nela. A carga entra em contato com o servidor C&C, envia informa√ß√Ķes b√°sicas sobre a m√°quina infectada e aguarda comandos adicionais do servidor. Tamb√©m se verifica que √© v√°lido Certo certificados foram usados ‚Äč‚Äčpara assinar o execut√°vel do malware Bandook.

Existem três variantes disponíveis atualmente:

  1. Uma vers√£o completa com 120 comandos (n√£o assinados)
  2. Uma vers√£o completa (amostra √ļnica) com 120 comandos (assinados)
  3. Uma vers√£o simplificada com 11 comandos (assinados)
N√≥s recomendamos:  Como ignorar facilmente o Samsung FRP em 2023?

Isso indica que os operadores desejam reduzir a pegada do malware e minimizar suas chances de uma campanha n√£o detectada contra alvos de alto perfil, enquanto o uso da vers√£o do comando 120 n√£o assinado pode ser usado para alvos de baixo perfil.

Todas as evid√™ncias apontam para a nossa cren√ßa de que os operadores misteriosos por tr√°s da infra-estrutura maliciosa de ‚ÄúOpera√ß√£o Manul” e “Caracal Escuro‚ÄĚ ainda est√£o vivos e operacionais, dispostos a ajudar nas opera√ß√Ķes cibern√©ticas ofensivas a quem estiver disposto a pagar. √Č bom tomar as medidas necess√°rias para evitar isso desde os primeiros est√°gios.