Uma nova ameaça foi descoberta recentemente por mim e pelo time. Ela chegou ao computador do usuário por meio de download, no momento que acessou um website legítimo em WordPress, porém comprometido. Sem desconfiar dos riscos, a vítima foi solicitada a atualizar o java e após iniciar a suposta atualização foi direcionada para o download de um executável hospedado no Google Drive.
O arquivo baixado nada mais é que um dropper (cavalo de tróia), tipo de malware que nem sempre executa ações maliciosas, sua essência é instalar/baixar/executar outros códigos, que de fato possuem as rotinas que causam algum tipo de dano.
Ainda sobre esse cavalo de Tróia, verificamos que durante sua execução é exibida uma tela idêntica à de instalação do java, que começa baixando um script malicioso, o python e diversos módulos que serão utilizados posteriormente, em seguida adiciona persistência (auto inicialização) e reinicia o computador para então entrar em atividade.
Uma característica interessante sobre o dropper é que, mesmo após quase 30 dias depois da sua descoberta, permanecia com uma baixa taxa de detecção em relação à maioria dos antivírus de mercado. Outro ponto a ser destacado é que há diversos comentários em português no script, podendo indicar ser um malware brasileiro. Esta última informação é reforçada pelo fato dos alvos serem domínios brasileiros em sua grande maioria.
Caso o malware infecte ambientes de empresas, o comportamento da ameaça poderá negativar a reputação do IP corporativo, causando impacto ao negócio, uma vez que diversas soluções de segurança de perímetro, por exemplo, consultam backlists e bloqueiam qualquer tráfego com IP's que constem nestas listas.
Podemos concluir também que não se trata de um ameaça direcionada a um nicho de mercado e que o provável propósito do atacante é usar infraestrutura de terceiros para obter acessos privilegiados em sistemas que estejam mal configurados e possuem senhas fracas, usando tais informações para obter ganho financeiro, seja na venda das informações no mercado negro ou extorsão de empresas através de vazamento de dados.
No geral, é imprescindível investir em prevenção, seja na aquisição de soluções de segurança, seja na criação de rotinas proativas de revisão de configuração e boas práticas para administração das soluções. Além disso, é importante fazer um monitoramento de segurança contínuo, criar/atualizar controles, ter equipes especializadas, inclusive na Resposta a Incidentes de Segurança. Estas ações reduzem significativamente o número de incidentes mais complexos, reduzem custo com recuperação de incidentes e principalmente o impacto ao negócio.
Prevenir é sempre um bom caminho!
Pedro Barreto, pesquisador e incident responder na Real Protect.