Gatefy detecta ataque de e-mail avançado usando arquivo Word como isca

Gatefy detecta ataque de e-mail avançado usando arquivo Word como isca.
Compartilhar no facebook
Compartilhar no twitter
Compartilhar no linkedin
Compartilhar no reddit
Compartilhar no whatsapp

A equipe de segurança da Gatefy detectou e mapeou um ataque malicioso de e-mail envolvendo um arquivo perigoso do Microsoft Word como isca. O ataque é bastante sofisticado e usa uma abordagem persuasiva de engenharia social associada à tecnologia, o que dificulta a sua detecção com base em abordagens tradicionais.

No início, o ataque funciona como qualquer outra campanha de propagação de malware. O hacker envia um arquivo malicioso por e-mail e pede à vítima para executá-lo.

O que chama a atenção, entretanto, é como o malware funciona depois de já infectar o computador da vítima.

Assim que o malware infecta o dispositivo, ele acessa o e-mail da vítima e, a seguir, usa a lista de contatos e os e-mails recebidos e enviados para propagar a fraude.

Ou seja, o malware usa o conteúdo legítimo da vítima, que está disponível em seu e-mail, para aplicar golpes. Em outras palavras, o ataque transforma o dispositivo da vítima em um zumbi, que envia mensagens maliciosas para as pessoas com quem a vítima tem contato.

Como podemos ver, este é um golpe avançado de engenharia social. O pior é que, agindo dessa forma, o código malicioso cria uma fraude difícil de ser detectada e bloqueada, com grandes chances de infectar novos dispositivos.

No e-mail bloqueado pela Gatefy, o arquivo malicioso do Word continha um VBScript (Visual Basic Script) que, na verdade, era um payload ou um artefato do tipo VB.EmoDldr, que é um malware do tipo Trojan.

A ameaça pode ser categorizada como dridex, em que o hacker usa scripts do Microsoft Office para escrever código malicioso capaz de alterar quase todo tipo de configuração no computador da vítima.

Este é um tipo de ameaça que se tornou famoso devido ao roubo de credenciais bancárias, incluindo criptomoedas, e como forma de espalhar ransomware.

Neste artigo, você vai ler mais sobre:

BEC - Business Email Compromise

Faça o download deste ebook para entender tudo sobre BEC, das características às técnicas mais usadas.

Resposta ao incidente

Quando o malware acessa o dispositivo da vítima, ele tenta entrar em contato com 3 domínios:

  • _ldap._tcp.dc._msdcs.scl3.dc
  • isatap.scl3.dc
  • wpad.scl3.dc

Indicadores MITRE ATT&CK®

technique idtechnique descriptiontactic descriptionmatched malicious indicators countmatched suspicious indicators countmatched informative indicators count
T1204User executionExecution011
T1179HookingPersistence003
T1137Office applicaation startupPersistence100
T1179HookingPrivilege Escalation003
T1112Modify registryDefense Evasion001
T1179hookingDefense Access003
T1010Application window discoveryDiscovery001
T1114Email collectionCollection010

Indicadores de atividade maliciosa

1. O arquivo possui dados extras, que excedem o último setor FAT do arquivo “Microsoft Compound File Binary Format”. Não é uma situação comum quando um arquivo é salvo pelo Microsoft Word. Isto geralmente acontece quando uma carga maliciosa é anexada “manualmente” ao final de um arquivo do MS Office propositalmente.

Quando o arquivo é aberto no MS Word, o primeiro estágio do malware é acionado por uma macro VBA, um OLE (Object Linking Embedding) no documento. Este código encontra os dados da segunda etapa no final do arquivo, usando um marcador específico ou sabendo o tamanho dos dados, salva em outro arquivo em disco e executa. É semelhante a uma técnica de esteganografia.

2. O arquivo contém macros VBA com palavras-chave que indicam comportamento autoexecutável. Por exemplo, foi encontrado “Document_Open” nele, o que indica que o código deve ser executado quando o arquivo for aberto.

Este indicador vem do MITRE ATT&CK ID T1137 – Office Application Startup.

3. O código malicioso cria mutants. No Windows, um mutant é um objeto kernel que permite aos programas sincronizar eventos entre eles. O malware geralmente usa um mutant nomeado para garantir que não reinfecte a mesma máquina e execute apenas uma única cópia do malware.

“\Sessions\1\BaseNamedObjects\Local\x64_10MU_ACBPIDS_S-1-5-5-0-70237”

“\Sessions\1\BaseNamedObjects\Local\x64_10MU_ACB10_S-1-5-5-0-70237”

“\Sessions\1\BaseNamedObjects\Global\552FFA80-3393-423d-8671-7BA046BB5906”

“Global\552FFA80-3393-423d-8671-7BA046BB5906”

“Local\x64_10MU_ACBPIDS_S-1-5-5-0-70237”

“Local\x64_10MU_ACB10_S-1-5-5-0-70237”

Indicadores suspeitos

1. Uma string com potencial malicioso foi encontrada no endereço de e-mail no arquivo binário na memória. MITRE ATT&CK ID T114.

2. O processo malicioso tentou conectar domínios aleatórios.

3. A macro VBA tinha palavras-chave suspeitas, o que pode indicar que strings específicas deveriam ser ofuscadas, quando deveria criar objetos OLE, e indicações de onde deveria ocultar o aplicativo.

Persistência

1. O artefato carrega bibliotecas de controle de edição. Essas bibliotecas podem ser usadas em métodos de captura de dados do usuário para obter credenciais ou coletar informações. Durante o uso normal do sistema, os usuários geralmente fornecem credenciais para vários locais diferentes, como páginas de login e portais ou diálogos do sistema. MITRE ATT&CK ID T1179.

“WINWORD.EXE” loaded module “%COMMONPROGRAMFILES%\Microsoft Shared\OFFICE14\RICHED20.DLL” at E5800000

2. O artefato também remove as chaves de resiliência do Office. Os hackers podem escrever código para interagir com o registro do Windows das máquinas infectadas, para ocultar informações de configuração nas chaves do registro, remover informações como parte da limpeza ou como parte de outras técnicas para garantir a persistência.

3. O arquivo malicioso tenta obter uma lista de aplicativos abertos. Essa lista pode transmitir informações sobre como o sistema é usado ou dar contexto às informações coletadas.

4. Ele cria arquivos na pasta Windows.

“WINWORD.EXE” touched file “C:\Windows\Globalization\Sorting\SortDefault.nls”

“WINWORD.EXE” touched file “C:\Windows\Fonts\StaticCache.dat”

“WINWORD.EXE” touched file “C:\Windows\System32\en-US\user32.dll.mui”

“WINWORD.EXE” touched file “C:\Windows\Microsoft.NET\Framework64\v2.0.50727\clr.dll”

“WINWORD.EXE” touched file “C:\Windows\Microsoft.NET\Framework64\v2.0.50727\mscorwks.dll”

“WINWORD.EXE” touched file “C:\Windows\Microsoft.NET\Framework64\v4.0.30319\clr.dll”

“WINWORD.EXE” touched file “%LOCALAPPDATA%\Microsoft\Windows\Caches”

“WINWORD.EXE” touched file “C:\Users\%USERNAME%\AppData\Local\Microsoft\Windows\Caches\cversions.1.db”

“WINWORD.EXE” touched file “C:\Users\%USERNAME%\AppData\Local\Microsoft\Windows\Caches\{AFBF9F1A-8EE8-4C77-AF34-C647E37CA0D9}.1.ver0x000000000000001d.db”

“WINWORD.EXE” touched file “C:\Windows\System32\en-US\KernelBase.dll.mui”

“WINWORD.EXE” touched file “C:\Windows\System32\msxml6r.dll”

“WINWORD.EXE” touched file “C:\Windows\System32\rsaenh.dll”

“WINWORD.EXE” touched file “C:\Users\%USERNAME%\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.Word\~WRS{B139C51A-B13E-45F4-9AB3-0AD4B34D1E2F}.tmp”

“WINWORD.EXE” touched file “C:\Windows\System32\en-US\msctf.dll.mui”

“WINWORD.EXE” touched file “%LOCALAPPDATA%\Microsoft\Windows\Caches”

“WINWORD.EXE” touched file “%LOCALAPPDATA%\Microsoft\Windows\Caches\cversions.1.db”

“WINWORD.EXE” touched file “%LOCALAPPDATA%\Microsoft\Windows\Caches\{AFBF9F1A-8EE8-4C77-AF34-C647E37CA0D9}.1.ver0x000000000000001d.db”

“WINWORD.EXE” touched file “%LOCALAPPDATA%\Microsoft\Windows\Temporary Internet Files\Content.Word\~WRS{B139C51A-B13E-45F4-9AB3-0AD4B34D1E2F}.tmp”

5. Uma URL foi encontrada no arquivo binário na memória.

Nome do processo malicioso

WINWORD.EXE

Nome do arquivo

MENSAGEM.doc

Tamanho

171365 bytes

HASH SHA256

735d344181fff3c321e0dd5358a7819eb52cd2458dbae3d8aafbc8fd780e45bc

Arquivos extraídos

Nome do arquivo

overlay_a0db5f1a664c58b276ecf68d60dab5cffd2f56b1f7614827f1b2f363dd70d28f

Hash SHA256

a0db5f1a664c58b276ecf68d60dab5cffd2f56b1f7614827f1b2f363dd70d28f

Nome do arquivo

~WRS_B139C51A-B13E-45F4-9AB3-0AD4B34D1E2F_.tmp

Hash SHA256

4826c0d860af884d3343ca6460b0006a7a2ce7dbccc4d743208585d997cc5fd1

Nome do arquivo

~_Normal.dotm

Hash SHA256

3882a3e04d6cf66707b31c8cb14a7c9fe512d10dd355f97a37e8666270f6e17d

Melhore a segurança da sua empresa. Agende demo!
Não esqueça de compartilhar este post
Compartilhar no facebook
Compartilhar no twitter
Compartilhar no linkedin
Compartilhar no reddit
Compartilhar no whatsapp
Notícias Relacionadas