Notícia

Trojan Covid 19

13/07/2021

No artigo do mês o Prof. Wagner da CD6 – Desenvolvimento de Pessoas e Negócios, vem com um assunto bem interessante e que é ligado as Fake News, isso mesmo, e sobre um tipo de trojan que usa como base principal o titulo Covid-19, Corona vírus, confira:

Após anos de inatividade, o famoso malware retornou em meio às milhares de ações hackers diárias que se aproveitam da pandemia.

As últimas semanas trouxeram uma nova realidade no planeta conforme a pandemia de Coronavírus se espalhava, causando preocupações de todo tipo na população. O tema tem sido muito explorado pelos hackers e grupos que distribuem spam e malwares. Suas ações maliciosas crescem aos milhares por dia, fazendo com que ironicamente um vírus biológico “contamine” também o mundo virtual.
Contudo, a situação parece piorar com o ressurgimento do malware Zeus Sphinx, também conhecido por Zloader e Terdot. Após três anos sem dar notícias, voltou à ativa. Tinha se tornado famoso por ser muito eficiente no roubo de informações bancárias, e agora volta a dar trabalho.
Embora algumas atividades do Sphinx tenham surgido já em dezembro, seu volume ganhou forma em março deste ano. Ao que tudo indica, aproveitando o clima atual, seus operadores estão de olho naqueles que aguardam pagamentos dos governos.
As campanhas atuais de malware e spam apresentam arquivos anexos com armadilhas relacionadas ao Coronavírus. Os alvos estão mais focados em bancos nos EUA, Canadá e Austrália, mas a tendência é que siga o caminho do Coronavírus e chegue a basicamente todas as nações.
Visto pela primeira vez em agosto de 2015, o Sphinx é um malware baseado no código-fonte vazado do infame Cavalo de Troia (trojan) bancário Zeus. Como outros trojans bancários, a meta do Sphinx é obter senhas de acesso às contas.
Quando os usuários infectados chegam a determinado portal bancário on-line, o Sphinx busca dados em seu servidor de Comando e Controle (C2) para modificar a página que o usuário vê na tela. Dessa maneira, tudo que for digitado é enviado aos cibercriminosos, o que inclui logins e senhas.
Agora, as investidas estão um pouco diferentes. Os e-mails informam aos alvos que eles precisam preencher um formulário em anexo para receber determinado pagamento do governo como parte das ações de países e estados para diminuir os impactos econômicos da pandemia. Nas campanhas mais recentes, o Sphinx está se espalhando por e-mail com arquivos maliciosos denominados: “alívio COVID 19”.
A partir de vários programas do Microsoft Office, sendo a maioria arquivos .doc ou .docx, esses documentos solicitam ao usuário que permita a execução de uma macro, desencadeando sem querer a primeira etapa da cadeia de infecção.
Depois que essas macros maliciosas forem aceitas, o scrip começará sua implantação, geralmente usando processos legítimos e sequestrados do Windows, que buscarão um downloader de malware. Em seguida, o downloader se comunicará com um servidor remoto de Comando e Controle (C2) e trará o malware desejado – neste caso, a nova versão do Sphinx.
Rotina de infecção
Depois que as macros do Sphinx são ativadas, o documento cria uma pasta mal-intencionada e grava um arquivo em lotes nela. O código executa esse arquivo nos lotes e grava um arquivo VBS no mesmo local.
O malware usa um processo legítimo do WScript.exe para executar o arquivo VBS, que cria um canal de comunicação com o servidor C2. Depois disso, ele baixa um executável malicioso na forma de um arquivo de biblioteca DLL. Essa DLL maliciosa é o principal executável do Sphinx, que entra em ação usando o processo Regsvr32.exe.
No início, o malware cria um processo “oco”, o msiexec.exe, e injeta seu código nele. Essa mesma etapa foi usada pelas versões mais antigas do Sphinx na implantação, e agora volta mais eficiente. Além disso, a nova versão se comunica com seu servidor C2 usando um painel de controle baseado na Web chamado Tables.
O sistema de injeção de telas da Tables está operacional desde 2014, adaptado e usado principalmente por trojans do tipo Zeus, que têm como alvo empresas na América do Norte e Europa. Esse painel fornece todos os recursos necessários para o malware infectar e coletar informações relevantes das máquinas das vítimas infectadas.
Depois que uma conexão com o painel Tabelas for estabelecida, o Sphinx buscará arquivos JavaScript adicionais para que suas injeções na Web se ajustem ao banco de destino em que o usuário está navegando.
Um dos triunfos do Sphinx é assinar seu código malicioso usando um certificado digital que o valida, facilitando o disfarce no radar das ferramentas de antivírus convencionais.
Semelhanças
A atual versão do Zeus Sphinx é “apenas” ligeiramente diferente das amostras anteriores vistas em campanhas mais antigas. Por exemplo, o malware cria uma chave de execução no Registro, para que a DLL seja acionada usando o processo Regsrv32.exe. O malware também cria duas seções de registro em HKCU \ Software \ Microsoft \, cada uma contendo uma chave que mantém parte de sua configuração.
Invariavelmente, as campanhas com o tema Coronavírus continuarão a ser lançadas. Isso inclui ataques de malware, URLs com armadilhas e golpes de preenchimento de credenciais. Os grupos de hackers estão de olho na pandemia como uma oportunidade única para a difundir meios de roubar dados – principalmente em um cenário com cada vez mais pessoas atuando em home office, onde as defesas tendem a serem menos efetivas.
Nesse sentido, é sempre bom reforçar as dicas para evitar cair em golpes do tipo. Nunca clique em links recebidos por SMS, aplicativos de mensagens ou e-mails contendo promessas de benefícios sem antes checar sua veracidade – mesmo se vierem de contatos conhecidos.
Conforme cresce a pandemia, crescem as mensagens falsas prometendo a distribuição gratuita de itens como álcool 70%, máscaras, vacinas e até mesmo receitas caseiras para se livrar do Coronavírus. Isso inclui também listas de famosos falecidos, textos com teorias conspiratórias e nomes de pessoas da sua cidade que estão infectadas. Cedo ou tarde, esses conteúdos podem chegar ao seu computador ou celular, e é bom estar atento

Gostou do conteúdo acima?
Siga a CD6 nas redes sociais e venha fazer parte do nosso time de alunos protegidos contra os cibercriminosos.
#teamCD6

Voltar

Notícia

Trojan Covid 19

Últimas notícias

Todos prontos para o lançamento do novo Windows???

Descobrindo falhas de SQL Injection com SQLmap

Trojan Covid 19

Texte de Vulnerabilidades

Padronizar Papel de Parede do Windows via GPO

Ryzen 7 5800X com excelente performance, mas condenado pelo preço

Tutorial de Limpeza de arquivos temporário com CCleaner

O Prof. Luis do Curso de Ti da CD6 Desenvolvimento de Pessoas e Negócios, traz um artigo muito interessante sobre a nova atualização do Windows 10, confira