tela de computador apresentando linguagem de programação em azul num fundo preto.

Coronavírus desperta um monstro chamado Zeus Sphinx

Post disponível em / disponible en / available in: Português Español

Tempo de leitura: 5 minutos

Após anos de inatividade, o famoso malware retornou em meio às milhares de ações hackers diárias que se aproveitam da pandemia.

As últimas semanas trouxeram uma nova realidade no planeta conforme a pandemia de Coronavírus se espalhava, causando preocupações de todo tipo na população. O tema tem sido muito explorado pelos hackers e grupos que distribuem spam e malwares. Suas ações maliciosas crescem aos milhares por dia, fazendo com que ironicamente um vírus biológico “contamine” também o mundo virtual.

Contudo, a situação parece piorar com o ressurgimento do malware Zeus Sphinx, também conhecido por Zloader e Terdot. Após três anos sem dar notícias, voltou à ativa. Tinha se tornado famoso por ser muito eficiente no roubo de informações bancárias, e agora volta a dar trabalho.

Embora algumas atividades do Sphinx tenham surgido já em dezembro, seu volume ganhou forma em março deste ano. Ao que tudo indica, aproveitando o clima atual, seus operadores estão de olho naqueles que aguardam pagamentos dos governos. As campanhas atuais de malware e spam apresentam arquivos anexos com armadilhas relacionadas ao Coronavírus. Os alvos estão mais focados em bancos nos EUA, Canadá e Austrália, mas a tendência é que siga o caminho do Coronavírus e chegue a basicamente todas as nações.

Visto pela primeira vez em agosto de 2015, o Sphinx é um malware baseado no código-fonte vazado do infame Cavalo de Troia (trojan) bancário Zeus. Como outros trojans bancários, a meta do Sphinx é obter senhas de acesso às contas. Quando os usuários infectados chegam a determinado portal bancário on-line, o Sphinx busca dados em seu servidor de Comando e Controle (C2) para modificar a página que o usuário vê na tela. Dessa maneira, tudo que for digitado é enviado aos cibercriminosos, o que inclui logins e senhas.

Agora, as investidas estão um pouco diferentes. Os e-mails informam aos alvos que eles precisam preencher um formulário em anexo para receber determinado pagamento do governo como parte das ações de países e estados para diminuir os impactos econômicos da pandemia. Nas campanhas mais recentes, o Sphinx está se espalhando por e-mail com arquivos maliciosos denominados “alívio COVID 19”.

A partir de vários programas do Microsoft Office, sendo a maioria arquivos .doc ou .docx, esses documentos solicitam ao usuário que permita a execução de uma macro, desencadeando sem querer a primeira etapa da cadeia de infecção. Depois que essas macros maliciosas forem aceitas, o script começará sua implantação, geralmente usando processos legítimos e sequestrados do Windows, que buscarão um downloader de malware. Em seguida, o downloader se comunicará com um servidor remoto de Comando e Controle (C2) e trará o malware desejado – neste caso, a nova versão do Sphinx.

Rotina de infecção

Depois que as macros do Sphinx são ativadas, o documento cria uma pasta mal-intencionada e grava um arquivo em lotes nela. O código executa esse arquivo nos lotes e grava um arquivo VBS no mesmo local.

O malware usa um processo legítimo do WScript.exe para executar o arquivo VBS, que cria um canal de comunicação com o servidor C2. Depois disso, ele baixa um executável malicioso na forma de um arquivo de biblioteca DLL. Essa DLL maliciosa é o principal executável do Sphinx, que entra em ação usando o processo Regsvr32.exe.

No início, o malware cria um processo “oco”, o msiexec.exe, e injeta seu código nele. Essa mesma etapa foi usada pelas versões mais antigas do Sphinx na implantação, e agora volta mais eficiente. Além disso, a nova versão se comunica com seu servidor C2 usando um painel de controle baseado na Web chamado Tables.

O sistema de injeção de telas da Tables está operacional desde 2014, adaptado e usado principalmente por trojans do tipo Zeus, que têm como alvo empresas na América do Norte e Europa. Esse painel fornece todos os recursos necessários para o malware infectar e coletar informações relevantes das máquinas das vítimas infectadas. Depois que uma conexão com o painel Tabelas for estabelecida, o Sphinx buscará arquivos JavaScript adicionais para que suas injeções na Web se ajustem ao banco de destino em que o usuário está navegando.

Um dos triunfos do Sphinx é assinar seu código malicioso usando um certificado digital que o valida, facilitando o disfarce no radar das ferramentas de antivírus convencionais.

Semelhanças

A atual versão do Zeus Sphinx é “apenas” ligeiramente diferente das amostras anteriores vistas em campanhas mais antigas. Por exemplo, o malware cria uma chave de execução no Registro, para que a DLL seja acionada usando o processo Regsrv32.exe. O malware também cria duas seções de registro em HKCU \ Software \ Microsoft \, cada uma contendo uma chave que mantém parte de sua configuração.

Invariavelmente, as campanhas com o tema Coronavírus continuarão a ser lançadas. Isso inclui ataques de malware, URLs com armadilhas e golpes de preenchimento de credenciais. Os grupos de hackers estão de olho na pandemia como uma oportunidade única para a difundir meios de roubar dados – principalmente em um cenário com cada vez mais pessoas atuando em home office, onde as defesas tendem a serem menos efetivas.

Nesse sentido, é sempre bom reforçar as dicas para evitar cair em golpes do tipo. Nunca clique em links recebidos por SMS, aplicativos de mensagens ou e-mails contendo promessas de benefícios sem antes checar sua veracidade – mesmo se vierem de contatos conhecidos. Conforme cresce a epidemia, crescem as mensagens falsas prometendo a distribuição gratuita de itens como álcool 70%, máscaras, vacinas e até mesmo receitas caseiras para se livrar do Coronavírus. Isso inclui também listas de famosos falecidos, textos com teorias conspiratórias e nomes de pessoas da sua cidade que estão infectadas. Cedo ou tarde, esses conteúdos podem chegar ao seu computador ou celular, e é bom estar atento.

Thais Souza
thais.souza@ostec.com.br
No Comments

Post A Comment

Esse site utiliza o Akismet para reduzir spam. Aprenda como seus dados de comentários são processados.