Geral 4min de Leitura - 31 de março de 2020

Coronavírus desperta um monstro chamado Zeus Sphinx

Mãos digitando em teclado de notebook. Na tela, alguma linguagem de programação que remete ao Sphinx

This post is also available in: Português Español

Após anos de inatividade, o famoso malware retornou em meio às milhares de ações hackers diárias que se aproveitam da pandemia.

As últimas semanas trouxeram uma nova realidade no planeta conforme a pandemia de Coronavírus se espalhava, causando preocupações de todo tipo na população. O tema tem sido muito explorado pelos hackers e grupos que distribuem spam e malwares. Suas ações maliciosas crescem aos milhares por dia, fazendo com que ironicamente um vírus biológico “contamine” também o mundo virtual.

Contudo, a situação parece piorar com o ressurgimento do malware Zeus Sphinx, também conhecido por Zloader e Terdot. Após três anos sem dar notícias, voltou à ativa. Tinha se tornado famoso por ser muito eficiente no roubo de informações bancárias, e agora volta a dar trabalho.

Embora algumas atividades do Sphinx tenham surgido já em dezembro, seu volume ganhou forma em março deste ano. Ao que tudo indica, aproveitando o clima atual, seus operadores estão de olho naqueles que aguardam pagamentos dos governos.

As campanhas atuais de malware e spam apresentam arquivos anexos com armadilhas relacionadas ao Coronavírus. Os alvos estão mais focados em bancos nos EUA, Canadá e Austrália, mas a tendência é que siga o caminho do Coronavírus e chegue a basicamente todas as nações.

Visto pela primeira vez em agosto de 2015, o Sphinx é um malware baseado no código-fonte vazado do infame Cavalo de Troia (trojan) bancário Zeus. Como outros trojans bancários, a meta do Sphinx é obter senhas de acesso às contas.

Quando os usuários infectados chegam a determinado portal bancário on-line, o Sphinx busca dados em seu servidor de Comando e Controle (C2) para modificar a página que o usuário vê na tela. Dessa maneira, tudo que for digitado é enviado aos cibercriminosos, o que inclui logins e senhas.

Agora, as investidas estão um pouco diferentes. Os e-mails informam aos alvos que eles precisam preencher um formulário em anexo para receber determinado pagamento do governo como parte das ações de países e estados para diminuir os impactos econômicos da pandemia. Nas campanhas mais recentes, o Sphinx está se espalhando por e-mail com arquivos maliciosos denominados “alívio COVID 19”.

A partir de vários programas do Microsoft Office, sendo a maioria arquivos .doc ou .docx, esses documentos solicitam ao usuário que permita a execução de uma macro, desencadeando sem querer a primeira etapa da cadeia de infecção.

Depois que essas macros maliciosas forem aceitas, o script começará sua implantação, geralmente usando processos legítimos e sequestrados do Windows, que buscarão um downloader de malware. Em seguida, o downloader se comunicará com um servidor remoto de Comando e Controle (C2) e trará o malware desejado – neste caso, a nova versão do Sphinx.

Rotina de infecção

Depois que as macros do Sphinx são ativadas, o documento cria uma pasta mal-intencionada e grava um arquivo em lotes nela. O código executa esse arquivo nos lotes e grava um arquivo VBS no mesmo local.

O malware usa um processo legítimo do WScript.exe para executar o arquivo VBS, que cria um canal de comunicação com o servidor C2. Depois disso, ele baixa um executável malicioso na forma de um arquivo de biblioteca DLL. Essa DLL maliciosa é o principal executável do Sphinx, que entra em ação usando o processo Regsvr32.exe.

No início, o malware cria um processo “oco”, o msiexec.exe, e injeta seu código nele. Essa mesma etapa foi usada pelas versões mais antigas do Sphinx na implantação, e agora volta mais eficiente. Além disso, a nova versão se comunica com seu servidor C2 usando um painel de controle baseado na Web chamado Tables.

O sistema de injeção de telas da Tables está operacional desde 2014, adaptado e usado principalmente por trojans do tipo Zeus, que têm como alvo empresas na América do Norte e Europa. Esse painel fornece todos os recursos necessários para o malware infectar e coletar informações relevantes das máquinas das vítimas infectadas.

Depois que uma conexão com o painel Tabelas for estabelecida, o Sphinx buscará arquivos JavaScript adicionais para que suas injeções na Web se ajustem ao banco de destino em que o usuário está navegando.

Um dos triunfos do Sphinx é assinar seu código malicioso usando um certificado digital que o valida, facilitando o disfarce no radar das ferramentas de antivírus convencionais.

Semelhanças

A atual versão do Zeus Sphinx é “apenas” ligeiramente diferente das amostras anteriores vistas em campanhas mais antigas. Por exemplo, o malware cria uma chave de execução no Registro, para que a DLL seja acionada usando o processo Regsrv32.exe. O malware também cria duas seções de registro em HKCU \ Software \ Microsoft \, cada uma contendo uma chave que mantém parte de sua configuração.

Invariavelmente, as campanhas com o tema Coronavírus continuarão a ser lançadas. Isso inclui ataques de malware, URLs com armadilhas e golpes de preenchimento de credenciais. Os grupos de hackers estão de olho na pandemia como uma oportunidade única para a difundir meios de roubar dados – principalmente em um cenário com cada vez mais pessoas atuando em home office, onde as defesas tendem a serem menos efetivas.

Nesse sentido, é sempre bom reforçar as dicas para evitar cair em golpes do tipo. Nunca clique em links recebidos por SMS, aplicativos de mensagens ou e-mails contendo promessas de benefícios sem antes checar sua veracidade – mesmo se vierem de contatos conhecidos.

Conforme cresce a epidemia, crescem as mensagens falsas prometendo a distribuição gratuita de itens como álcool 70%, máscaras, vacinas e até mesmo receitas caseiras para se livrar do Coronavírus. Isso inclui também listas de famosos falecidos, textos com teorias conspiratórias e nomes de pessoas da sua cidade que estão infectadas. Cedo ou tarde, esses conteúdos podem chegar ao seu computador ou celular, e é bom estar atento.

This post is also available in: Português Español