Base de Conhecimento



Trojan TrickBot mais aperfeiçoado para suas compras de Natal

Ho ho ho! O Natal está chegando, e para muitas pessoas é hora de fazer algumas compras on-line.
E por esse motivo os autores de trojans conhecem desse fenômeno anual, por isso não deve ser uma surpresa que alguns deles tenham trabalhado duro preparando algumas surpresas desagradáveis para esta época de compras.

E é exatamente isso que pelo qual o TrickBot foi lançado. Como um dos malwares bancários mais prevalentes para o Windows hoje em dia, recentemente a F-secure vem observando que ele vem se diversificando e atacando vários bancos em vários lugares pelo mundo.

Como de costume, o Trojan está sendo entregue através de campanhas de spam. De acordo com este gráfico, com base da F-Secure, a maioria dos spams, foram distribuídos entre a tarde de terça e a manhã da quarta-feira:

Os e-mails de spam que vimos tipicamente têm um assunto parecido como “Seu pagamento – 1234”, um corpo com nada além de “Seu pagamento está anexado”, e de fato é um anexo que é um documento do Microsoft Word com instruções em inglês…

trickbot_spam_word_doc

Clicando no botão não revelará nenhum conteúdo do documento, mas iniciará uma macro que eventualmente irá baixar e executar o payload  do TrickBot.
O mesmo artifício antigo, mas que algumas pessoas que acabaram de comprar um presente de Natal podem ainda cair nisso e acabar com outro “presente” instalado em seu computador.

E esse “presente” é a parte mais interessante desta história. O payload mais recente sofreu algumas mudanças que são bem notáveis …

Alvos

Desde a sua aparição inicial durante Outubro de 2016, os autores desenvolveram o malware e estão constantemente expandindo e mudando os objetivos.  Uma das principais mudanças foi a alteração da Injeção Dinâmica (adicionando o código de intercepção à página da Web) ao invés de usar a Injeção estática (substituindo a página da Web).

Verificações anti-sandbox

Até agora, não tínhamos conhecimento de nenhum recurso no TrickBot que estivesse verificando se o malware é executado em uma máquina virtual ou um ambiente em sandbox usado para análise automática. A nova versão introduziu algumas verificações simples contra algumas sandboxes conhecidas chamando GetModuleHandle para as seguintes DLLs:

trickbot_antisandbox

Se algum desses módulos for encontrado, o payload encerra.

Curiosamente, também encontramos algumas strings criptografadas que parecem indicar a detecção das imagens da máquina virtual do Windows que a Microsoft oferece aos desenvolvedores da Web para testar seu código no Internet Explorer e Edge, no entanto, essas sequências de caracteres não são usadas em qualquer lugar (ainda). Mas bem provável que os autores expandirão suas tentativas de evasão de sandbox em uma versão futura.

trickbot_test_vm

Auto-elevação

Salvamos o melhor para o último. Quando o payload está em execução, pesquisadores perceberam que não funcionava com direitos de usuário, como sempre aconteceu antes. Ao invés disso, ele estava sendo executado sob a conta SYSTEM, ou seja, com privilégios de administrador. Durante a sequência de infecção não houve aviso de UAC,  portanto, o TrickBot deve ter usado um mecanismo de auto-elevação para obter direitos de administrador.

Uma pequena pesquisa na desmontagem revelou rapidamente uma dica óbvia:

trickbot_elevation_1

Combinado com alguns CLSID codificados…

trickbot_elevation_2

… pesquisaram descobriram que os autores implementaram um bypass de UAC que foi (até onde a F-Secure tem ciência) publicamente divulgado apenas alguns meses atrás. A descoberta original é explicada aqui.

E posteriormente implementado como um código autônomo e provavelmente a principal inspiração para os codificadores de TrickBot.

Em suma: este bypass é uma re-implementação de uma interface COM para iniciar o ShellExec com direitos de administrador, e é usado em um componente padrão do Windows “Component Manager Administrator Kit” para instalar conexões de rede no nível da máquina.

Ele funciona em todos as versões do Windows 7, e até a versão mais recente do Windows 10, com configurações UAC padrão e considerando que é basicamente um recurso do Windows. Em outras palavras, perfeito para uso em malware, e não nos surpreenderia se depararmos com o mesmo acontecimento em outros sistemas operacionais em breve.

Texto Original:

Labs Blog F-Secure

Parceiros

Av. Dom João VI, 11, Edf. Seta Empresarial, 2º Andar, Brotas | Cep: 40.285-000 | Salvador - Bahia - Brasil
Tel.: 71 3018-7381 / 3018-7381 www.xlogic.com.br - sac@xlogic.com.br

XLOGIC. © 2018. Todos os direitos reservados.