O Powload ganhou notoriedade como catalisador para outros malwares, um grande exemplo sendo o Emotet, um trojan bancário conhecido por suas capacidades modulares. O Powload tem se mantido um clássico do cibercrime pela sua habilidade de combinar métodos simples de infecção com características em constante evolução – incluindo capacidades feitas para evasão de tecnologias de segurança.
Com a análise de dados compilados durante o primeiro semestre deste ano – contendo mais de 50 mil amostras da infraestrutura Trend Micro Smart Protection Network – foi possível obter insight sobre como o Powload incorporou novas técnicas para aumentar sua efetividade, especialmente em sua habilidade de evitar detecção.
Powload em ação
O ataque típico do Powload usa técnicas de engenharia social para fazer o usuário clicar em um anexo de e-mail – por exemplo, disfarçando o e-mail como um boleto enviado supostamente por um fornecedor. As amostras de incidentes Powload observadas geralmente usam anexos que contém uma codificação com Visual Basic for Attachments (VBA), que, quando clicado, ativa um processo PowerShell escondido para baixar e executar o malware. A maioria das variáveis de Powload costuma incorporar técnicas para confundir e evitar detecções baseadas em hash.
O uso de documentos como anexos maliciosos tem se tornado cada vez mais comum entre famílias de malware, e o Powload não é uma exceção – na verdade, é o método de engenharia social mais comum usado nos ataques. Usuários que abrem o documento se deparam com um botão "permitir conteúdo", que, quando clicado, executa o macro malicioso.
A maioria das amostras analisadas utilizava arquivos compatíveis com Microsoft Word 97-2003 (denotado por um documento com extensão .doc). Configurando o documento para desativar funções incompatíveis com o Word 97-2003, os atacantes conseguem focar em vítimas que usam versões antigas do software.
Técnicas de evasão
O uso de documentos baseados em XML para evitar detecção. O formato de arquivo XML (eXtensible Markup Language) é interpretado como um documento normal pelo Microsoft Word. Alguns atacantes o usam como um anexo malicioso para evitar detecções estruturais do Microsoft Word.
Abuso do módulo Forms para esconder fios macro maliciosos. Uma técnica interessante observada nos últimos meses é o uso de texto/ASCII ilegível para esconder fios macro que estão armazenados nas propriedades de atributo do módulo Forms. Isso é feito para evitar detecção no formato estrutural, já que nenhum fio malicioso estará presente no código macro, com apenas referências indiretas às propriedades de atributo mostradas.
Uso de módulos macro protegidos por senha. Aplicações do Microsoft Office contém uma função de proteção de privacidade para códigos fonte. A senha escondida usa variáveis DPB, que podem ser vistas usando um editor hex (programa de computador que permite um usuário manipular arquivos editando bytes em hexadecimal). Porém, essa característica pode se tornar uma faca de dois gumes quando cibercriminosos abusam dessa função fazendo com que apenas usuários que sabem a senha possam acessar o código fonte, impedindo que pesquisadores analisem o documento para descobrir se é de natureza maliciosa.
Possível uso de módulos ocultos do projeto VBA. Também foram encontrados sinais do possível uso de uma ferramenta de hack chamada EVILCLIPPY – nomeada a partir do extinto assistente do Word – que contém uma função que permite esconder módulos de um projeto VBA. Isso dificulta que pesquisadores de segurança façam a engenharia reversa em uma amostra. Apesar de não haver evidências concretas do uso de EVILCLIPPY, muitas amostras possuíam módulos escondidos, o que torna provável que esse ou outro software similar tenha sido usado no ataque.
Durante o período em que se observou a atividade do Powload, as técnicas utilizadas mudavam constantemente – de pequenas modificações como mudança de títulos e estilos dos e-mails maliciosos à construção de diversas técnicas de obscurecimento ao longo do tempo. Nem todas as técnicas foram utilizadas ao mesmo tempo. Por exemplo, o uso de módulos de projeto VBA escondidos não estava presente nos primeiros meses do ano, mas foi adicionado nos últimos meses – um indicador de que é possivelmente uma nova estratégia que foi implantada apenas recentemente pelos cibercriminosos por trás dos ataques.
Baseado no que se sabe e observou do Powload, é provável que haverá mais desenvolvimentos desse malware de evolução constante. Considerando seu papel como downloader de outras famílias de malware, pode-se esperar que ele permaneça proeminente no cenário do cibercrime.
A engenharia social permanece como o principal método do Powload para enganar os internautas e fazê-los baixar os arquivos. É por isso que estratégias designadas para lidar com trojan necessariamente incluem também estratégias para combater a engenharia social.
