Do not speak Portuguese? Translate this site with Google or Bing Translator

TrickBot agora verifica a resolução da tela para evitar os pesquisadores

Buscando ser ainda mais “invisível”, o TrickBot agora verifica a resolução da tela para evitar os pesquisadores e softwares de segurança.

Os operadores de malware TrickBot têm usado um novo método para verificar a resolução da tela do sistema da vítima para evitar a detecção do software de segurança e a análise dos pesquisadores.

TrickBot agora verifica a resolução da tela para evitar os pesquisadores

TrickBot agora verifica a resolução da tela para evitar os pesquisadores
TrickBot agora verifica a resolução da tela para evitar os pesquisadores

No ano passado, a gangue TrickBot adicionou um novo recurso ao malware que encerrava a cadeia de infecção se um dispositivo estava usando resoluções de tela não padrão de 800×600 e 1024×768.

Em uma nova variação detectada por pesquisadores de ameaças, o código de verificação foi adicionado ao anexo HTML do spam entregue à vítima em potencial.

Os pesquisadores geralmente analisam malware em máquinas virtuais que vêm com certas particularidades – especialmente em configurações padrão – como serviços em execução, nome da máquina, placa de rede, recursos de CPU e resolução de tela.

Os desenvolvedores de malware estão cientes dessas características e tiram proveito da implementação de métodos que interrompem o processo de infecção em sistemas identificados como máquinas virtuais.

Em amostras de malware TrickBot encontradas no ano passado, o executável incluía código JavaScript que verificou a resolução da tela do sistema em que estava sendo executado.

Recentemente, TheAnalyst – um caçador de ameaças e membro do grupo de pesquisa de segurança Cryptolaemus, descobriu que o anexo HTML de uma campanha de malspam do TrickBot se comportava de maneira diferente em uma máquina real e em uma virtual.

O anexo baixou um arquivo ZIP malicioso em um sistema físico, mas redirecionou para o site da ABC (American Broadcasting Company) em um ambiente virtual.

Se o destino abre o HTML em seu navegador da web, o script malicioso é decodificado e a carga útil é implantada em seu dispositivo.

O e-mail com o anexo era um alerta falso para a compra de seguro, com detalhes adicionados a um anexo HTML.

TrickBot agora verifica a resolução da tela para evitar os pesquisadores
TrickBot agora verifica a resolução da tela para evitar os pesquisadores

Abrir o anexo lançou o arquivo HTML no navegador padrão, exibindo uma mensagem pedindo paciência para o documento carregar e fornecendo uma senha para acessá-lo.

Na máquina de um usuário normal, a cadeia de infecção continuaria com o download de um arquivo ZIP que incluía o executável TrickBot, como pode ser visto na imagem abaixo, publicada pelo TheAnalyst:

TrickBot agora verifica a resolução da tela para evitar os pesquisadores
TrickBot agora verifica a resolução da tela para evitar os pesquisadores

Baixar malware dessa forma é uma técnica conhecida como contrabando de HTML. Ele permite que um agente de ameaças ignore os filtros de conteúdo de um navegador e coloque arquivos maliciosos em um computador de destino, incluindo JavaScript codificado em um arquivo HTML.

Embora isso pareça ser uma inovação dos operadores do TrickBot, o truque não é novo e já foi visto antes em ataques que atraíram vítimas para sites de phishing.

O pesquisador de segurança MalwareHunterTeam encontrou em março deste ano um kit de phishing que incluía um código para verificar a resolução da tela do sistema.

download de um arquivo ZIP
TrickBot agora verifica a resolução da tela para evitar os pesquisadores fonte: MalwareHunterTeam

Desde então, o pesquisador disse que viu a tática sendo usada várias vezes em várias campanhas de phishing como um meio de evitar os investigadores.

O script determina se o usuário que acessa a página de phishing usa uma máquina virtual ou física, verificando se o navegador da web usa um renderizador de software como SwiftShader, LLVMpipe ou VirtualBox, o que normalmente significa um ambiente virtual.

Conforme visto acima, o script também verifica se a profundidade de cor da tela do visitante é menor que 24 bits ou se a altura e largura da tela são menores que 100 pixels.

O TrickBot não está usando o mesmo script que o anterior, mas depende da mesma tática para detectar a caixa de proteção de um pesquisador. No entanto, é uma estreia para a turma usar esse tipo de script em um anexo HTML.

Esta também pode ser a primeira vez que o malware usa um anexo para executar uma verificação de resolução de tela, em vez de fazer isso na página de destino que serve o executável do malware.

Anteriormente, o malware verificava as resoluções de tela não padrão 800×600 e 1024×768, que são indicativas de uma máquina virtual.

Sobre o Edivaldo Brito

Edivaldo Brito é analista de sistemas, gestor de TI, blogueiro e também um grande fã de sistemas operacionais, banco de dados, software livre, redes, programação, dispositivos móveis e tudo mais que envolve tecnologia.

Deixe um comentário

Esse site utiliza o Akismet para reduzir spam. Aprenda como seus dados de comentários são processados.