Gatefy detecta ataque de e-mail avançado usando arquivo Word como isca
A equipe de segurança da Gatefy detectou e mapeou um ataque malicioso de e-mail envolvendo um arquivo perigoso do Microsoft Word como isca. O ataque é bastante sofisticado e usa uma abordagem persuasiva de engenharia social associada à tecnologia, o que dificulta a sua detecção com base em abordagens tradicionais.
No início, o ataque funciona como qualquer outra campanha de propagação de malware. O hacker envia um arquivo malicioso por e-mail e pede à vítima para executá-lo.
O que chama a atenção, entretanto, é como o malware funciona depois de já infectar o computador da vítima.
Assim que o malware infecta o dispositivo, ele acessa o e-mail da vítima e, a seguir, usa a lista de contatos e os e-mails recebidos e enviados para propagar a fraude.
Ou seja, o malware usa o conteúdo legítimo da vítima, que está disponível em seu e-mail, para aplicar golpes. Em outras palavras, o ataque transforma o dispositivo da vítima em um zumbi, que envia mensagens maliciosas para as pessoas com quem a vítima tem contato.
Como podemos ver, este é um golpe avançado de engenharia social. O pior é que, agindo dessa forma, o código malicioso cria uma fraude difícil de ser detectada e bloqueada, com grandes chances de infectar novos dispositivos.
No e-mail bloqueado pela Gatefy, o arquivo malicioso do Word continha um VBScript (Visual Basic Script) que, na verdade, era um payload ou um artefato do tipo VB.EmoDldr, que é um malware do tipo Trojan.
A ameaça pode ser categorizada como dridex, em que o hacker usa scripts do Microsoft Office para escrever código malicioso capaz de alterar quase todo tipo de configuração no computador da vítima.
Este é um tipo de ameaça que se tornou famoso devido ao roubo de credenciais bancárias, incluindo criptomoedas, e como forma de espalhar ransomware.
Neste artigo, você vai ler mais sobre:
BEC - Business Email Compromise
Faça o download deste ebook para entender tudo sobre BEC, das características às técnicas mais usadas.
Resposta ao incidente
Quando o malware acessa o dispositivo da vítima, ele tenta entrar em contato com 3 domínios:
- _ldap._tcp.dc._msdcs.scl3.dc
- isatap.scl3.dc
- wpad.scl3.dc
Indicadores MITRE ATT&CK®
Indicadores de atividade maliciosa
1. O arquivo possui dados extras, que excedem o último setor FAT do arquivo “Microsoft Compound File Binary Format”. Não é uma situação comum quando um arquivo é salvo pelo Microsoft Word. Isto geralmente acontece quando uma carga maliciosa é anexada “manualmente” ao final de um arquivo do MS Office propositalmente.
Quando o arquivo é aberto no MS Word, o primeiro estágio do malware é acionado por uma macro VBA, um OLE (Object Linking Embedding) no documento. Este código encontra os dados da segunda etapa no final do arquivo, usando um marcador específico ou sabendo o tamanho dos dados, salva em outro arquivo em disco e executa. É semelhante a uma técnica de esteganografia.
2. O arquivo contém macros VBA com palavras-chave que indicam comportamento autoexecutável. Por exemplo, foi encontrado “Document_Open” nele, o que indica que o código deve ser executado quando o arquivo for aberto.
Este indicador vem do MITRE ATT&CK ID T1137 – Office Application Startup.
3. O código malicioso cria mutants. No Windows, um mutant é um objeto kernel que permite aos programas sincronizar eventos entre eles. O malware geralmente usa um mutant nomeado para garantir que não reinfecte a mesma máquina e execute apenas uma única cópia do malware.
“\Sessions\1\BaseNamedObjects\Local\x64_10MU_ACBPIDS_S-1-5-5-0-70237”
“\Sessions\1\BaseNamedObjects\Local\x64_10MU_ACB10_S-1-5-5-0-70237”
“\Sessions\1\BaseNamedObjects\Global\552FFA80-3393-423d-8671-7BA046BB5906”
“Global\552FFA80-3393-423d-8671-7BA046BB5906”
“Local\x64_10MU_ACBPIDS_S-1-5-5-0-70237”
“Local\x64_10MU_ACB10_S-1-5-5-0-70237”
Indicadores suspeitos
1. Uma string com potencial malicioso foi encontrada no endereço de e-mail no arquivo binário na memória. MITRE ATT&CK ID T114.
2. O processo malicioso tentou conectar domínios aleatórios.
3. A macro VBA tinha palavras-chave suspeitas, o que pode indicar que strings específicas deveriam ser ofuscadas, quando deveria criar objetos OLE, e indicações de onde deveria ocultar o aplicativo.
Persistência
1. O artefato carrega bibliotecas de controle de edição. Essas bibliotecas podem ser usadas em métodos de captura de dados do usuário para obter credenciais ou coletar informações. Durante o uso normal do sistema, os usuários geralmente fornecem credenciais para vários locais diferentes, como páginas de login e portais ou diálogos do sistema. MITRE ATT&CK ID T1179.
“WINWORD.EXE” loaded module “%COMMONPROGRAMFILES%\Microsoft Shared\OFFICE14\RICHED20.DLL” at E5800000
2. O artefato também remove as chaves de resiliência do Office. Os hackers podem escrever código para interagir com o registro do Windows das máquinas infectadas, para ocultar informações de configuração nas chaves do registro, remover informações como parte da limpeza ou como parte de outras técnicas para garantir a persistência.
3. O arquivo malicioso tenta obter uma lista de aplicativos abertos. Essa lista pode transmitir informações sobre como o sistema é usado ou dar contexto às informações coletadas.
4. Ele cria arquivos na pasta Windows.
“WINWORD.EXE” touched file “C:\Windows\Globalization\Sorting\SortDefault.nls”
“WINWORD.EXE” touched file “C:\Windows\Fonts\StaticCache.dat”
“WINWORD.EXE” touched file “C:\Windows\System32\en-US\user32.dll.mui”
“WINWORD.EXE” touched file “C:\Windows\Microsoft.NET\Framework64\v2.0.50727\clr.dll”
“WINWORD.EXE” touched file “C:\Windows\Microsoft.NET\Framework64\v2.0.50727\mscorwks.dll”
“WINWORD.EXE” touched file “C:\Windows\Microsoft.NET\Framework64\v4.0.30319\clr.dll”
“WINWORD.EXE” touched file “%LOCALAPPDATA%\Microsoft\Windows\Caches”
“WINWORD.EXE” touched file “C:\Users\%USERNAME%\AppData\Local\Microsoft\Windows\Caches\cversions.1.db”
“WINWORD.EXE” touched file “C:\Users\%USERNAME%\AppData\Local\Microsoft\Windows\Caches\{AFBF9F1A-8EE8-4C77-AF34-C647E37CA0D9}.1.ver0x000000000000001d.db”
“WINWORD.EXE” touched file “C:\Windows\System32\en-US\KernelBase.dll.mui”
“WINWORD.EXE” touched file “C:\Windows\System32\msxml6r.dll”
“WINWORD.EXE” touched file “C:\Windows\System32\rsaenh.dll”
“WINWORD.EXE” touched file “C:\Users\%USERNAME%\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.Word\~WRS{B139C51A-B13E-45F4-9AB3-0AD4B34D1E2F}.tmp”
“WINWORD.EXE” touched file “C:\Windows\System32\en-US\msctf.dll.mui”
“WINWORD.EXE” touched file “%LOCALAPPDATA%\Microsoft\Windows\Caches”
“WINWORD.EXE” touched file “%LOCALAPPDATA%\Microsoft\Windows\Caches\cversions.1.db”
“WINWORD.EXE” touched file “%LOCALAPPDATA%\Microsoft\Windows\Caches\{AFBF9F1A-8EE8-4C77-AF34-C647E37CA0D9}.1.ver0x000000000000001d.db”
“WINWORD.EXE” touched file “%LOCALAPPDATA%\Microsoft\Windows\Temporary Internet Files\Content.Word\~WRS{B139C51A-B13E-45F4-9AB3-0AD4B34D1E2F}.tmp”
5. Uma URL foi encontrada no arquivo binário na memória.
Nome do processo malicioso
WINWORD.EXE
Nome do arquivo
MENSAGEM.doc
Tamanho
171365 bytes
HASH SHA256
735d344181fff3c321e0dd5358a7819eb52cd2458dbae3d8aafbc8fd780e45bc
Arquivos extraídos
Nome do arquivo
overlay_a0db5f1a664c58b276ecf68d60dab5cffd2f56b1f7614827f1b2f363dd70d28f
Hash SHA256
a0db5f1a664c58b276ecf68d60dab5cffd2f56b1f7614827f1b2f363dd70d28f
Nome do arquivo
~WRS_B139C51A-B13E-45F4-9AB3-0AD4B34D1E2F_.tmp
Hash SHA256
4826c0d860af884d3343ca6460b0006a7a2ce7dbccc4d743208585d997cc5fd1
Nome do arquivo
~_Normal.dotm
Hash SHA256
3882a3e04d6cf66707b31c8cb14a7c9fe512d10dd355f97a37e8666270f6e17d
