Malware de Phishing: Um Estudo de Caso

O malware de phishing é uma ameaça cibernética que tem ganhado crescente atenção nos últimos anos. Essa forma de ataques cibernéticos visa enganar os usuários a clicarem em links suspeitos ou a abrir anexos contendo malware, com o objetivo final de comprometer sistemas e dados sensíveis.

O Caso do OneAmerica Survey

Um exemplo recente de um ataque de phishing foi identificado no arquivo zip "OneAmerica Survey.zip". O arquivo foi baixado por um usuário que, ao executá-lo, encontrou um único arquivo de atalho chamado "OneAmerica Survey" e um diretório intitulado "data", contendo todo o conteúdo da pasta de instalação do QEMU.

Análise do Arquivo LNK

Ao examinar o arquivo LNK (atalho), foi possível identificar que ele está associado ao processo PowerShell do sistema e executa um comando básico. O comando pega o arquivo zip baixado e extrai seu conteúdo no diretório de perfil do usuário, em uma pasta chamada "datax". Em seguida, ele executa o arquivo "start.bat" localizado na pasta.

O Script start.bat

O script em lote "start.bat" realiza duas funções principais. Primeiramente, ele utiliza o executável "explorer.exe" para mostrar uma mensagem de erro de servidor ao usuário, indicando que o link ou URL da pesquisa estava com problemas no servidor. Em seguida, o script inicia o processo QEMU e a linha de comando para rodar o ambiente Linux emulado.

O Binário crondx

O binário acionado durante a inicialização da instância do Linux QEMU encontra-se no diretório "/home/tc/crondx". Trata-se de um executável ELF de 64 bits, desenvolvido utilizando a linguagem Go (golang). Após uma análise mais aprofundada, foi identificado que o binário é um cliente Chisel pré-configurado, destinado a se conectar a um servidor remoto de Comando e Controle (C2) no endereço "18.208.230[.]174" via websockets.

Recomendações para Mitigar a Infecção

Além dos indicadores de comprometimento identificados no caso do OneAmerica Survey, há algumas medidas que podem ser adotadas para mitigar a infecção do malware:

• Verifique o remetente: Sempre confira o endereço de e-mail do remetente. Phishers costumam usar endereços que parecem legítimos, mas têm pequenas variações.

• Não clique em links suspeitos: Passe o mouse sobre links para ver o URL completo antes de clicar. Se parecer suspeito, não clique.

• Cuidado com anexos: Não abra anexos de e-mails de remetentes desconhecidos ou inesperados. Eles podem conter malware.

• Use autenticação de dois fatores (2FA): Adicione uma camada extra de segurança às suas contas, exigindo um segundo fator de autenticação além da senha.

• Atualize seu software: Mantenha seu sistema operacional, navegador e software de segurança atualizados para proteger contra vulnerabilidades conhecidas.

• Eduque-se e aos outros: Aprenda sobre as táticas comuns de phishing e compartilhe esse conhecimento com colegas e familiares.

• Desconfie de urgência: E-mails que exigem ação imediata ou ameaçam consequências graves são frequentemente tentativas de phishing. Verifique a autenticidade antes de responder.

Ao estar ciente dessas recomendações, os usuários podem ajudar a prevenir e mitigar os efeitos de ataques de phishing no futuro.

 Referência: https://www.securonix.com/blog/crontrap-emulated-linux-environments-as-the-latest-tactic-in-malware-staging/ https://www.bleepingcomputer.com/news/security/windows-infected-with-backdoored-linux-vms-in-new-phishing-attacks/