Malware que visa o Brasil continua a evoluir, afirma Palo Alto Networks

0

A Palo Alto Networks identificou uma nova forma de malware que está se espalhando pelos e-mails dos brasileiros. Desde dezembro de 2013, a empresa detectou 9.125 amostras do spam malicioso (malspam) associado como "Banload", uma família de Cavalo de Tróia que faz download de outros malwares. Somente em 2017, foram detectadas 2.113 amostras desse malware.

O processo de infecção acontece em várias etapas. No ataque, os usuários recebem uma mensagem que afirma ser a 3ª e última notificação para o pagamento do IPTU (Imposto Brasileiro, Territorial e Urbano) da Prefeitura com um arquivo para ser baixado.

Ao baixar o que o usuário acredita ser um boleto IPTU, ele salva em seu computador um arquivo zip contendo um Windows executável e um arquivo DLL malicioso e a princípio nada acontece.

A próxima parte da infecção acontece quando o usuário precisa utilizar o sistema bancário online. No Brasil, a maioria dos bancos utiliza um plugin de segurança bancária chamado G-Buster Browser Defense, desenvolvido pela GAS Tecnologia. Dentro dele, há um executável chamado GbpSv.exe que foi projetado para carregar um arquivo DLL nomeado fltLib.dll.

Em ambos os arquivos, é possível identificar a presença de um DLL, que é o componente verdadeiramente malicioso dos dois itens. A técnica de carregar DLL malicioso usando um arquivo legítimo executável é conhecida como Side Loading (carregamento lateral). Ela é cada vez mais usada pelos criminosos para esconder o conteúdo malicioso em arquivos DLL. O arquivo DLL parece ser malware de botnet e provavelmente possui um componente de roubo de informações comum a outros malwares vistos neste tipo de malspam brasileiro.

Deixe seu comentário