Malware Ursnif via documento office agora está usando técnicas de esteganografia

Criminosos cibernéticos agora estão distribuindo o poderoso malware ursnif por meio de documentos mal-intencionados do Office com scripts PowerShell altamente ofuscados de vários estágios para contornar os controles de segurança.

Ursnif, uma família de Trojans bancários que realiza o ataque mais destrutivo à rede das vítimas, agora usa o método de esteganografia para ocultar seu código malicioso e evitar a detecção.

O malware Ursnif, também conhecido como Gozi ISFB , é uma variavel do Trojan bancário Gozi, que vazou seu código-fonte on-line em 2014.

Inicialmente o usnif está sendo enviado por emails de spam que contém um documento falso, geralmente ordem de compra ou fatura.

Essa campanha de malware usa um método de entrega de carga já bem conhecida que emprega documentos do Microsoft Excel que contém uma macro VBA mal-intencionada.

Assim que as vítimas visadas ativarem a Macro, ela inicialmente verifica o país da vítima usando o  International.Application – Propriedade do MS Office, em seguida, ele executa os comandos para iniciar a shell.

Mais tarde, alguma da função de ofuscação do código Macro executará o 
shell codificado de várias cadeias que será convertido no novo comando Powershell.

  • Script Powershell implantado por código de macro

De acordo com a pesquisa do yoroi , “o malware tenta baixar uma imagem de pelo menos uma das duas URLs incorporadas:

  • https: //images2.imgbox [.] com / 55 / c4 / rBzwpAzi_o.png
  • https: //i.postimg [.] cc / PH6QvFvF / mario.png? dl = 1

A imagem aparentemente legítima contém um novo comando do Powershell. A imagem “armada” é criada usando o script Invoke-PSImage , que permite incorporar os bytes de um script aos pixels de um arquivo PNG. “

Mais tarde o malware se conecta ao seu servidor de comando e controle para baixar o binário malicioso que será (injectexplorer.exe)  e o servidor envia os dados criptografados.

Finalmente, concluindo o processo de descriptografia, os dados roubados serão armazenados na chave de registro definida pelo malware.

“Assim, usando o script Powershell armazenado em regkey (mostrado acima), o Ursnif é capaz de alocar espaço suficiente para sua matriz de bytes maliciosos, contendo a carga final, e iniciá-lo como um processo legítimo através de chamadas QueueUserAPC e  SleepEx .”

Quando verificar a DLL no total do vírus, não há detecção e todo o mecanismo AV mostra como limpo.

“A nova amostra Ursnif usa a mesma técnica de injeção APC para introduzir seu binário final em explorer.exe , juntamente com ofuscação e esteganografia, a fim de esconder o seu comportamento malicioso. Ursnif é mais ativo e difundido do que ontem, o C2 contatado não é acessível, mas o implante de malware ainda está vivo ”, disse o pesquisador.