Malware contém aplicativos genuínos usados ​​para fins nefastos
Malware contém aplicativos genuínos usados ​​para fins nefastos
Uma variante do malware da Zeus, cujo código-fonte vazou em 2011, reapareceu como novo malware contendo aplicativos legítimos.

De acordo com um pesquisador de segurança conhecido como Hasherezade, o malware usa aplicativos legítimos para fins maliciosos.

Em um blog, ela disse que os sistemas foram infectados com o Zbot através do kit de exploração Sundown, bem como anexos de e-mail malicioso.


Ela acrescentou que geralmente para malware, uma carga útil DLL "não começa no início da página de memória, mas após o shellcode". Se uma conexão com a Internet for detectada, o Zloader carregará o segundo estágio (o bot principal) e o injetará em msiexec.exe. Injetado módulo balizas para o CnC e downloads outros módulos.

"CnC responde com um novo arquivo PE - o módulo do malware: (client32.dll). Downloader descriptografa-lo na memória e injeta ainda mais: depois de um tempo, podemos ver o explorador terminando e outro programa sendo implantado: msiexec. O executável de malware inicial é excluído ", disse Hasherezade.

Ela disse que o módulo principal do bot carrega e retira alguns novos elementos para a pasta temporária. 

"Surpreendentemente, esses arquivos são não-malware. Podemos ver o  certutil  aplicativo junto com suas dependências - DLLs legítimos ", disse ela. Existem também alguns certificados falsos plantados na mesma pasta com a ajuda da aplicação certutil. Isso permite que o malware realize ataques man-in-the-middle.

"É fácil adivinhar que este malware tem como alvo navegadores da web. Na verdade, se executamos um navegador e tentamos visitar algum site através de HTTPS, veremos que os certificados originais são substituídos por um malicioso. Veja exemplos abaixo - chamar a atenção que o assunto do certificado contém o domínio válido - apenas o campo do emissor pode nos permitir reconhecer, que o certificado não é legítimo ", disse Hasherezade.

Ela acrescentou que os navegadores não alertam sobre qualquer inconsistência em torno dos certificados e qualquer usuário que não estava vigilante o suficiente para verificar os detalhes do certificado, pode ser facilmente enganado.

O malware também usa a aplicação legítima php.exe e php5ts.dll, bem como algum código php ofuscado. O aplicativo php descriptografa um arquivo e isso se torna o executável Zloader.

Curiosamente, o malware está programado para evitar atacar computadores com pacotes de idioma russo instalados. malwares também pode usar consultas SQL para ler e manipular cookies do navegador armazenados na forma de bancos de dados SQLite.

O pesquisador de segurança disse que o malware foi preparado com atenção aos detalhes, e ela suspeita que é um trabalho de profissionais. "Ela é ativamente desenvolvida, distribuída e mantida - então, a probabilidade é alta, que estaremos vendo mais no futuro", disse ela.

Fraser Kyne, Diretor Técnico da EMEA da Bromium, disse à SC Media UK que os autores de malwares freqüentemente retornarão a modelos e métodos antigos, já que continuamente modificam seus ataques para maior efeito.

"É sobre atacar com algo insuspeitado; E sabendo que as pessoas estão tão ocupadas concentrando-se em novas ameaças que talvez eles começam a negligenciar os mais velhos. Muitas vezes vemos as tendências do passado voltar, como o ressurgimento de ataques de malware baseados em macros em documentos em 2016 ", disse ele.

Ele acrescentou que pode haver uma série de razões pelas quais o malware às vezes contém aplicativos legítimos.

"Em alguns casos, pode ajudar a mascarar a intenção maliciosa por trás de um ataque. Se o usuário vê que um aplicativo em que confia foi instalado, eles provavelmente têm menos probabilidade de perceber que foi um ataque ou questioná-lo mais. No entanto, os hackers também podem usá-lo como um meio de instalar um backdoor que não será detectado por software antivírus.

"Vulnerabilidades presentes em algumas aplicações podem ser exploradas com ataques de injeção de código, de modo que os hackers possam estar incluindo software legítimo com explorações conhecidas, com a intenção de usar isso como um ponto de entrada oculto no dispositivo do usuário em uma data posterior". 

Andy Norton, diretor de risco EMEA da SentinelOne, disse à SC que, como o malware contém aplicativos legítimos, ele poderia ser classificado como um ataque de arquivo branco.

"Um programa legítimo php.exe é instalado no sistema, e executa um arquivo de script que entrega Zbot, Zbot é então injetado nos outros processos legítimos da vítima. Isso reduz o número de arquivos distintivos usados ​​para maliciousness e, ao fazê-lo, reduz as chances de detecção ", disse ele.

"O que os atacantes não são capazes de mudar é o que o Zbot é usado e como ele se comporta, então se você instrumentar o ponto de extremidade e monitorar os comportamentos, independentemente do que os arquivos ou mesmo a falta de arquivos causam, a atividade maliciosa ainda será interrompida . "