Ransomware GandCrab e vírus Ursnif se espalham através de macros do MS Word

Pesquisadores de segurança descobriram duas campanhas de malware separadas, uma das quais está distribuindo o trojan Ursnif , que rouba dados, e o ransomware GandCrab, na natureza, enquanto o segundo está infectando apenas vítimas com malware Ursnif.

Embora ambas as campanhas de malware pareçam ser um trabalho de dois grupos separados de criminosos cibernéticos, encontramos muitas semelhanças entre eles. Ambos os ataques começam com e-mails de phishing que contêm um documento do Microsoft Word anexado, incorporado com macros maliciosas, e usam o Powershell para fornecer malware sem arquivo.

O Ursnif é um malware para roubo de dados que normalmente rouba informações confidenciais de computadores comprometidos com a capacidade de colher credenciais bancárias, navegar por atividades, coletar teclas digitadas, informações sobre processos e sistemas de implantar backdoors adicionais.

Descoberto no ano passado, o GandCrab é uma ameaça generalizada de ransomware que, como qualquer outro ransomware no mercado, criptografa arquivos em um sistema infectado e insiste que as vítimas paguem um resgate em moeda digital para desbloqueá-las. Seus desenvolvedores pedem pagamentos principalmente no DASH, que é mais complexo de rastrear

MS Docs + macros VBS = infecção Ursnif e GandCrab

A primeira campanha de malware distribuindo duas ameaças de malware foi descoberta por pesquisadores de segurança da Carbon Black, que localizaram cerca de 180 variantes de documentos do MS Word que visam usuários com macros VBS maliciosas.

Se executada com êxito, a macro VBS mal-intencionada executa um script PowerShell, que usa uma série de técnicas para baixar e executar Ursnif e GandCrab nos sistemas de destino.

microsoft office docs macros malware ransomware

O script do PowerShell é codificado em base64, que executa o próximo estágio de infecção, que é responsável pelo download das principais cargas de malware para comprometer o sistema.

A primeira carga é uma linha do PowerShell que avalia a arquitetura do sistema de destino e, em consequência, baixa uma carga adicional do site do Pastebin, que é executado na memória, dificultando que as técnicas tradicionais de antivírus detectem suas atividades.

“Este script do PowerShell é uma versão do módulo Empire Invoke-PSInject, com poucas modificações”, disseram os pesquisadores do Carbon Black. “O script terá um arquivo PE [Portable Executable] embutido que tenha sido codificado em base64 e injetá-lo no processo atual do PowerShell.”

A carga útil final então instala uma variante do ransomware GandCrab no sistema da vítima, bloqueando-o de seu sistema até que ele pague um resgate em moeda de dígitos.

Enquanto isso, o malware também baixa um executável Ursnif de um servidor remoto e, uma vez executado, imprimirá o sistema, monitorará o tráfego do navegador para coletar dados e o enviará ao servidor de comando e controle (C & C) dos invasores.

“No entanto, inúmeras variantes Ursnif foram hospedadas no site bevendbrec [.] Com durante esta campanha. Carbon Black foi capaz de descobrir aproximadamente 120 variantes Ursnif diferentes que estavam sendo hospedadas a partir dos domínios iscondisth [.] Com e bevendbrec [.] Com, “os pesquisadores disseram.

MS Docs + VBS macros = Malware de roubo de dados da Ursnif

Da mesma forma, a segunda campanha de malware que foi identificada por pesquisadores de segurança da Cisco Talos aproveita um documento do Microsoft Word contendo uma macro VBA maliciosa para fornecer outra variante do mesmo malware Ursnif.

microsoft office docs macros malware

Esse ataque de malware também compromete os sistemas de destino em vários estágios, começando com e-mails de phishing até a execução de comandos mal-intencionados do PowerShell para obter persistência sem arquivos e, em seguida, baixando e instalando o vírus de computador Ursnif.

“Há três partes no comando [PowerShell]. A primeira parte cria uma função que é usada mais tarde para decodificar o PowerShell codificado em base64. A segunda parte cria uma matriz de bytes contendo uma DLL maliciosa”, explicaram os pesquisadores da Talos.”A terceira parte executa a função de decodificação base64 criada na primeira parte, com uma string codificada em base64 como o parâmetro para a função. O PowerShell decodificado retornado é subseqüentemente executado pela função Invoke-Expression (iex) abreviada.”

Uma vez executado no computador da vítima, o malware coleta informações do sistema, as coloca em um formato de arquivo CAB e as envia para seu servidor de comando e controle por meio de uma conexão segura HTTPS.

Pesquisadores da Talos publicaram uma lista de indicadores de comprometimento (IOCs), juntamente com os nomes de nomes de arquivos carregados em máquinas comprometidas, em seu blog que podem ajudar a detectar e interromper o malware Ursnif antes que ele infecte sua rede.

Fonte TheHackerNews