Trojan pega carona em antivírus e software bancário

Pesquisadores da empresa Cybereason descobriram que há uma nova campanha do trojan Astaroth atingindo o Brasil. É um trojan extremamente sofisticado, que faz o roubo de credenciais e outros dados do usuário, e que na contaminação da máquina pode utilizar-se até mesmo de um arquivo de um antivírus ou de um plugin bancário para executar o roubo. A versão descoberta pelos pesquisadores da Cybereason utilizava um arquivo do Avast e também de um software de segurança da Diebold Nixdorf, desenvolvido pela extinta GAS Tecnologia, embora possa utilizar arquivos de outras aplicações.

A Avast enviou ao Cibersecurity o seguinte comunicado: “Tomamos conhecimento hoje sobre essa variante do trojan Astaroth analisada no relatório da Cybereason. Os autores fazem uso indevido de um binário confiável para executar o malware. Neste caso, eles usaram um processo Avast, provavelmente devido ao tamanho de nossa base de usuários no Brasil. Uma coisa importante a considerar é que isso não é uma injeção nem uma escalada de privilégios: os binários do Avast instalados possuem mecanismos de autoproteção para evitar injeções. Nesse caso, eles estão usando um arquivo Avast para executar um binário do mesmo modo que uma DLL usa o rundll32.exe do Windows. Já havia sido publicada uma detecção do malware para que todos os usuários do Avast fossem protegidos dessa variante. Além disso, iremos implementar mudanças em nosso ambiente para garantir que o mesmo processo não possa ser utilizado dessa maneira no futuro”.

Os desenvolvedores do trojan certamente usaram essa estratégia para economizar trabalho e código: pegam uma carona no antivírus que tem a maior base instalada no Brasil, com cerca de 44 milhões de usuários.

A estratégia, segundo os pesquisadores, continua baseada numa campanha de spam com anexos zipfile contendo arquivos .jpeg, .gif e extensionless. Quando um usuário clica no arquivo ou link malicioso, a ferramenta Windows BITSAdmin faz o download do malware e implanta a partir do servidor de comando e controle. Posteriormente, ele inicia um script XSL ofuscado e juntos eles ocultam tudo do antivírus.  O Astaroth, diz a pesquisa, abusa do aswrundll.exe, arquivo que é executado no Avast Software Runtime Dynamic Link Library, como também é capaz de explorar ainda o unins000.exe, parte do plugin bancário da GAS Tecnologia (agora Diebold) para fins de coleta de informações.

A Cyberason descobriu que o uso do trojan aumentou bastante no final do ano passado. A empresa prevê que as táticas de trojans continuarão a se tornar mais incisivas em ataques cibernéticos neste ano, por causa da sua capacidade de roaming de dispositivos e do uso de ferramentas já incorporadas em um dispositivo – como os antivírus e softwares de proteção bancária.

 

270Shares

, , , ,

Powered by WordPress. Designed by Woo Themes