Os operadores de malware TrickBot estão verificando a resolução da tela do sistema das vítimas como novo método para evitar a detecção por softwares e a análise de pesquisadores.
Este recurso foi incorporado ao malware no ano passado e encerra a cadeia de infecção se um dispositivo estiver usando resoluções de tela diferentes das padrões de 800x600 e 1024x768.
Os pesquisadores geralmente analisam malwares em máquinas virtuais que vêm com configurações específicas para serviços em execução, nome da máquina, placa de rede, recursos de CPU e resolução de tela.
Os desenvolvedores de malware estão cientes dessas características e tiram proveito da implementação de métodos que interrompem o processo de infecção em sistemas identificados como máquinas virtuais.
Em amostras de malware TrickBot encontradas no ano passado, o executável incluía código JavaScript que verificou a resolução da tela do sistema em que estava sendo executado.
Recentemente, o grupo de pesquisa de segurança Cryptolaemus, descobriu que o anexo HTML de uma campanha de malspam do TrickBot se comportava de maneira diferente em uma máquina real e em uma virtual.
O anexo baixou um arquivo ZIP malicioso em um sistema físico, mas redirecionou para o site da ABC (American Broadcasting Company) em um ambiente virtual.
Se o destino abre o HTML em seu navegador da web, o script malicioso é decodificado e a carga útil é implementada em seu dispositivo.
O e-mail com o anexo era um alerta falso para a compra de seguro, com detalhes adicionados a um anexo HTML. Ao abrir o arquivo uma mensagem pedindo paciência para o documento carregar era exibida com uma senha para acessá-lo (ver imagem abaixo).
Na máquina de um usuário normal, a cadeia de infecção continua com o download de um arquivo ZIP que inclui o executável TrickBot.
Baixar malware dessa forma é uma técnica conhecida como contrabando de HTML. Ele permite que os hackers passem pelos filtros de conteúdo dos navegadores e coloque arquivos maliciosos no computador da vítima, incluindo JavaScript codificado em um arquivo HTML.
Embora isso pareça ser uma inovação dos operadores do TrickBot, o truque não é novo e já foi visto antes em ataques que atraíram vítimas para sites de phishing.
O pesquisador de segurança MalwareHunterTeam encontrou em março deste ano um kit de phishing que incluía um código para verificar a resolução da tela do sistema.
Desde então, a tática vem sendo usada várias vezes em diversas campanhas de phishing como um meio de evitar detecção.
O script determina se o usuário que acessa a página de phishing usa uma máquina virtual ou física, verificando se o navegador da web usa um renderizador de software como SwiftShader, LLVMpipe ou VirtualBox, o que normalmente significa um ambiente virtual.
O script também verifica se as cores da tela do visitante estão configurdas para menos do que 24 bits ou se a altura e largura da tela são menores que 100 pixels.
O TrickBot não está usando o mesmo script que o anterior, mas depende da mesma tática para detectar a caixa de proteção de um pesquisador. Anteriormente, o malware verificava apenas resoluções de tela diferentes de 800x600 e 1024x768, que são indicativas de uma máquina virtual.
Fonte: Bleeping Computer
Conheça nossas soluções avançadas, robustas e seguras de NOC & SOC, Zero Trust, Next-Gen Firewalls, LGPD, Hardware, Monitoramento de Rede, Transferência de Arquivos Gerenciada, Consultoria de TIC, Treinamentos, Sustentação de Aplicações, Outsourcing, Licenciamento Geral e Help Desk.
