Segurança

Ξ Leave a comment

Criminosos miram em usuários do Google Chrome para controlar máquinas

posted by Palo Alto Networks

A Unit 42, equipe de pesquisa da Palo Alto Networks, identificou uma mudança no comportamento de um grupo de criminosos virtuais que visavam usuários do navegador Google Chrome. Esses ataques incluíam engenharia social para distribuir um malware.

Nos últimos meses, a campanha criminosa chamada de EITest estava fazendo a distribuição desses rasomwares como o Spora e o Mole. Entretanto, no final de agosto, alteraram seu modo de operação para outro tipo de ameaça. Recentes amostras indicam a infecção de servidores Windows com NetSupport Manager, ferramenta de acesso remoto (na sigla em inglês RAT – Remote Acess Tool).

Este movimento é significativo porque indica uma mudança potencial nos motivos desse adversário. A equipe da Unit 42 analisou a fundo como estão operando os agentes maliciosos por trás do EITest utilizando “HoeflerText popups”, uma técnica para ludibriar as vítimas a instalar malware em suas máquinas.

O grupo invade páginas selecionadas web por meio de engenharia social, na qual é feita uma pesquisa dos costumes da vítima – que sites visita, quando e por qual navegador. Ao entrar em um website comprometido, o alvo do ataque recebe uma mensagem, mostrada na figura abaixo.

falha chrome

Após clicar em “update”, outra mensagem aparece direcionando a vítima para baixar o arquivo “Font_Chrome.exe”, este sendo o malware para tomar controle da máquina.

Histórico

Em dezembro de 2016, a campanha EITest começou a usar pop-ups HoeflerText para distribuir malwares. Desde o final de janeiro de 2017, a Palo Alto Networks registrou ransomware nestes pop-ups. O método desapareceu por semanas, mas em julho de 2017, os pop-ups HoeflerText começaram a enviar o ransonware Mole no arquivo Font_Chrome.exe. Estes pop-ups pararam no final do mesmo mês. Entretanto, em agosto de 2017, reapareceram e vimos um malware de tipo diferente enviado sob o mesmo nome de arquivo. Amostras recentes analisadas pela Unit 42 não são de ransomware, são downloaders de arquivos. A abaixo mostra os hits em Font_Chrome.exe no AutoFocos de 16 de julho de 2017 até 30 de agosto de 2017.

Figura - falha seguranca chrome

Atividade recente

O tráfego de rede segue dois caminhos distintos. As vítimas que usam o Microsoft Internet Explorer como seu navegador web receberão um alerta antivírus falso com um número de telefone para uma fraude de suporte técnico. As vítimas que usam o Google Chrome como seu navegador obterão um pop-up HoeflerText, que oferece malware disfarçado como Font_Chrome.exe.

As amostras atuais de Font_Chrome.exe são os que baixam estes arquivos. Eles recuperam o malware que instala uma ferramenta de acesso remoto do NetSupport Manager (RAT). O NetSupport Manager é um RAT comercialmente disponível anteriormente associado a uma campanha de malware de contas de Steam pirateadas no ano passado. Para os pop-ups HoeflerText de agosto de 2017, encontramos dois exemplos de aplicativos que baixam esses arquivos e dois exemplos de malware de acompanhamento para instalar o RAT NetSupport Manager em sua versão 11.00 (a atual é a 12.5).

Portanto a vítima entra no site comprometido, baixa inadvertidamente o malware embutido no arquivo Font_Chrome.exe, que instala o RAT e dá controle ao criminoso da máquina da vítima com a possibilidades muito maiores do que os antigos ransomware, podendo inclusive acessar arquivos, roubar credenciais, iniciar uma movimentação pela rede, entre outras atividades criminosas.

Conclusão

A Unit 42 recomenda que os usuários tenham cuidado com esta ameaça e suspeitem de mensagens pop-up no Chrome que com o texto “”HoeflerText” font wasn’t found”. Como o arquivo é um RAT, usuários infectados podem não notar nenhuma mudança no uso rotineiro de seu computador. Se o NetSupport Manager estiver relacionado no host do Windows, é muito provável que isso indique um comprometimento da máquina.

Ainda não foi determinado por que os pop-ups EITest HoeflerText mudaram de enviar ransomware para utilizar uma RAT. O ransomware ainda é uma séria ameaça e continua a ser a maior categoria de malware detectada diariamente pela Palo Alto Networks em campanhas de distribuição em massa. No entanto, também percebemos uma quantidade crescente de outras formas de malware em campanhas recentes, especialmente em comparação com 2016. As RATs oferecem aos invasores mais recursos em um host e geralmente são muito mais flexíveis do que o malware projetado para um único propósito. A mudança de comportamento em agosto dos pop-ups EITest HoeflerText representa algo sutil, mostrando que ransomware está um pouco menos proeminente do que antes.

Para mais informações sobre indicadores de comprometimento, nomes de arquivos, locais e hashes destes ataques, visite:

researchcenter.paloaltonetworks.com/2017/09/unit42-hoeflertext-popups-targeting-google-chrome-users-now-pushing-rat-malware/

Os clientes da Palo Alto Networks estão protegidos desta e outras ameaças por meio da plataforma de segurança de próxima geração da empresa.

Mais sobre a empresa

A Palo Alto Network é uma empresa de segurança de última geração, liderando uma nova era em cibersegurança, que permite com segurança aplicações e prevenção de violações cibernérticas para dezenas de milhares de organizações por todo o mundo. Construída com uma abordagem inovadora e capacidades altamente diferenciadas de prevenção de ciberameaças, nossa plataforma de segurança inovadoras entregam segurança muito superior a produtos já existentes ou direcionados, permite com segurança a operação de negócios diários e protege os ativos mais vulneráveis de uma organização. Veja mais em www.paloaltonetworks.com.

Palo Alto Networks

Comentários no Facebook

You must be logged in to post a comment.

Busca

Patrocínio

Publicidade



Siga-nos!

Newsletter: Inscreva-se

Para se inscrever em nossa newsletter preencha o formulário.

Artigos Recentes