Comodo protege cinco universidades contra novos malwares que roubam dados

Tempo de leitura: 5 minutos

Nas primeiras semanas de 2018, os cibercriminosos visaram cinco universidades, 23 empresas privadas e várias organizações governamentais. Apesar do novo e sofisticado tipos de malware os atacantes usaram, eles foram incapazes de penetrar as defesas de Comodo.

Os cibercriminosos tentaram construir uma cadeia complicada para contornar os meios técnicos de segurança e enganar a vigilância humana.

Analistas na Comodo's Laboratórios de pesquisa de ameaças observou que os hackers não enviaram o malware pela rota usual como um anexo de e-mail, mas tentaram camuflá-lo em várias camadas. Primeiro, o e-mail de phishing foi disfarçado como uma mensagem da FedEx. Como mostra a captura de tela, a mensagem utilizou truques engenhosos de engenharia social para gerar cliques do usuário no link malicioso. Em segundo lugar, o próprio link malicioso também está bem disfarçado - como um link no Google Drive. Esses truques foram capazes de enganar muitos usuários.

Quando um usuário clica no link, o site do invasor é aberto em seu navegador, com o arquivo malicioso “Lebal copy.exe” para download. Preste atenção especial à barra de endereço: como você pode ver, “seguro”, “https” e “drive.google.com” estão presentes lá, então mesmo um usuário vigilante da segurança pode não perceber nada suspeito e tomar por um site confiável . Na verdade, como alguém pode saber que não deve confiar em algo com “google.com” na barra de endereço? Mas ... a realidade dói. Para muitos, é difícil de acreditar, mas os cibercriminosos habilidosos usam drive.google.com para colocar seus malware de phishing. E este caso não é um incidente isolado, então o Google - assim como muitos outros serviços de armazenamento em nuvem - definitivamente deve tomar medidas urgentes para resolver este problema. No mínimo, eles devem fornecer tempo real constante verifica se há malware. Isso ajudaria a reduzir a atividade maliciosa desse tipo.

Além disso, o arquivo malicioso também é disfarçado de maneira complicada - como um documento Adobe Acrobat. Ele não só tem um ícone semelhante aos arquivos .pdf, mas também as informações da versão do arquivo:

Obviamente, tudo o que foi dito acima é enganoso: “cópia Lebal” é um malware perigoso que tenta desvendar seus segredos.

O que exatamente o 'lebal_copy.exe ”pode fazer no seu computador?

Os analistas da Comodo definiram o tipo do arquivo como Trojan (TrojWare.Win32.Pony.IENG e TrojWare.MSIL.Injector. ~ SHI, para ser mais preciso) - malware criado para roubar informações.

Mas que tipo de informação?

Baixado, o malware descobre a versão do sistema operacional e dos aplicativos em execução na máquina da vítima. Em seguida, ele rouba dados privados dos navegadores do usuário, incluindo cookies e credenciais, e procura informações sobre clientes de e-mail e mensagens instantâneas. Em seguida, ele retira credenciais de clientes FTP como FileZilla ou WinSCP e tenta localizar e acessar carteiras de criptomoedas como Bitcoin ou Electrum. Resumindo, ele pega tudo o que pode extrair da máquina da vítima. Por fim, ele faz uma conexão com o servidor de comando e controle dos cibercriminosos e passa todas as informações coletadas para os invasores. Ele também tenta desligar os meios de defesa do sistema operacional e se esconder de ferramentas antimalware de várias maneiras sofisticadas.

Como os analistas da Comodo revelaram, esse ataque, direcionado a 30 servidores de e-mail, foi fornecido a partir de um endereço IP 177.154.128.114 e domínio dpsp.com.br de São Paulo, Brasil. Todos os 328 e-mails de phishing foram enviados durante um dia - 8 de janeiro.

“Os e-mails de phishing se tornaram mais sofisticados e refinados”, comentou Fatih Orhan, chefe do Comodo Threat Research Labs. “Os cibercriminosos inventam ativamente novos métodos para induzir os usuários a clicar em um link de isca. Como podemos ver no exemplo acima, não é tão fácil distinguir um arquivo ou link malicioso, mesmo para um cíber segurança usuário atento. É por isso que, para garantir a segurança hoje, as empresas precisam não apenas treinar pessoas para as habilidades de vigilância da cibersegurança, mas também usar meios técnicos confiáveis ​​de proteção. Os objetos deste ataque não foram afetados. apenas porque eles se prepararam com antecedência: protegendo suas redes com inteligência Comodo. E essa foi a decisão certa, porque é muito mais fácil prevenir um ataque do que superar suas consequências ”.
Viva em segurança com o Comodo!

Análise técnica

O nome do arquivo: Lebal copy.exe

Sample SHA1: e26e12ed8a5944b1dbefa3dbe3e5fc98c264ba49

Data: 11 janeiro 2018

1. Resumo

O arquivo é um executável portátil de 814 KB que tenta se passar por um documento do Adobe Acrobat para enganar o usuário e fazê-lo executá-lo. Para obter mais plausibilidade, ele foi disfarçado com o ícone de um arquivo .pdf e informações de versão do arquivo falsificado:

2. Análise de comportamento

Após a execução, ele descarta tmp.exe (SHA1: 0e9f43124e27fd471df3cf2832487f62eb30e1c) e copia MSBuild.exe
executável do Windows como .exe.

O objetivo de copiar o MSBuild.exe é executá-lo e injetá-lo com as próprias instruções do malware. Por ser assinado digitalmente com o certificado “Microsoft Corporation”, alguns aplicativos de segurança podem permitir suas ações, permitindo que o malware acesse a internet e recursos locais à sua vontade.

Depois de realizar a injeção, o malware baixa o arquivo kensho-au.tk/file/payload.bin, move-o para WinNtBackend-1751449698485799.tmp.exe (SHA1: 5245079fe71977c89915f5c00eaa4d1d6c36375c) na pasta temporária do sistema e o executa.

Ele permite que o invasor forneça ao malware atualizações contínuas e novos componentes ou instale malware adicional no host comprometido.

O principal objetivo do malware é roubar informações confidenciais. Ele tenta coletar os seguintes dados:

- dados privados de navegadores da web, incluindo cookies e credenciais de login;

- carteiras de criptomoedas como Bitcoin ou Electrum;

- credenciais de clientes ftp conhecidos (s) como FileZilla ou WinSCP;

- contas de mensageiros instantâneos;

- contas de clientes de e-mail (Thunderbird e Outlook):

Os dados coletados são enviados para http://datacntrsecured.com/securityfilesdoc/gate.php

3. Conclusão

O malware é criado para extrair o máximo de informações privadas possível para diversos fins maliciosos, por exemplo:
–As contas de e-mail roubadas podem ser usadas para enviar mensagens de spam;
- as credenciais ftp dão acesso a sites para comprometê-los;
–Contas criptografadas podem ser sacadas imediatamente.

Qualquer informação roubada pode ser utilizada pelos cibercriminosos se os usuários afetados não tomarem as medidas apropriadas a tempo.

4. Indicadores de compromisso

- a presença de arquivo .exe na pasta% temp%
- a presença do arquivo tmp.exe na pasta% temp%
- a presença do arquivo WinNtBackend-2955724792077800.tmp.exe na pasta% temp%

5. Detecção

malwares é detectado por produtos Comodo com o nome TrojWare.Win32.Pony.IENG e TrojWare.MSIL.Injector. ~ SHI

Recursos relacionados:

Melhor Software Antivírus

Software antivírus para PC

Melhores ferramentas de remoção de malware

Antivírus para Linux (PC)

Melhor antivírus

Scanner de malware para sites

COMECE O TESTE GRÁTIS OBTENHA SEU SCORECARD DE SEGURANÇA INSTANTÂNEO GRATUITAMENTE

• Conteúdo com tecnologia de SEO e distribuição de relações públicas. Seja amplificado hoje.
• Platoblockchain. Inteligência Metaverso Web3. Conhecimento Ampliado. Acesse aqui.
• Fonte: https://blog.comodo.com/comodo-news/comodo-protects-five-universities-new-malware-steals-data/