🤸🏽 🤴🏽 🍚 Farejadores que poderiam: como a família FakeSecurity infectou lojas on-line ♀️ 🌹 🤤

Em dezembro de 2018, os especialistas do Grupo-IB descobriram uma nova família de sniffers chamada FakeSecurity . Eles foram usados por um grupo criminoso que infectou sites administrados pelo CMS Magento. Uma análise mostrou que em uma campanha recente, os atacantes realizaram um ataque usando malware para roubar senhas. As vítimas eram os proprietários de sites de compras online infectados com um sniffer de JS. O Centro de Resposta a Incidentes de Segurança da Informação do CERT Group-IB alertou os recursos atacados e o analista do Threat Intelligence Group-IB Viktor Okorokov decidiu falar sobre como era possível identificar atividades criminosas.

Lembre-se de que em março de 2019, o Grupo-IB publicou o relatório “Crime sem castigo: análise de famílias de farejadores de JS”, que analisou 15 famílias de vários farejadores de JS usados para infectar mais de dois mil sites de lojas online.

Endereço único

Durante a infecção, os atacantes injetaram um link para um script malicioso no código do site, esse script foi carregado e, no momento do pagamento pela mercadoria, interceptou os dados de pagamento do visitante da loja on-line e os enviou ao servidor do atacante. Nos estágios iniciais dos ataques usando o FakeSecurity, os scripts maliciosos e os próprios sniffer gates estavam localizados no mesmo domínio magento-security [.] Org.

Mais tarde, alguns sites Magento foram infectados com a mesma família sniffer, mas desta vez os atacantes usaram novos nomes de domínio para hospedar o código malicioso:

fiswedbesign [.] com
alloaypparel [.] com

Ambos os nomes de domínio foram registrados no mesmo endereço de e-mail greenstreethunter @ india [.] Com . O mesmo endereço foi fornecido durante o registro do terceiro nome de domínio firstofbanks [.] Com .

Pedido convincente

Uma análise dos três novos domínios usados pelo grupo criminoso FakeSecurity revelou que alguns deles estavam envolvidos na campanha de distribuição de malware, iniciada em março de 2019. Os invasores distribuíram links para páginas que diziam que o usuário precisava instalar o plug-in ausente para a exibição correta do documento. Se o usuário começou a baixar o aplicativo, seu computador foi infectado com malware para roubar senhas.

No total, foram revelados 11 links únicos que levaram a páginas falsas que levaram o usuário a instalar malware.

hxxps: //www.etodoors.com/uploads/Statement00534521 [.] html
hxxps: //www.healthcare4all.co.uk/manuals/Statement00534521 [.] html
hxxps: //www.healthcare4all.co.uk/lib/Statement001845 [.] html
hxxps: //www.healthcare4all.co.uk/doc/BankStatement001489232 [.] html
hxxp: //verticalinsider.com/bookmarks/Bank_Statement0052890 [.] html
hxxp: //thepinetree.net/n/docs/Statement00159701 [.] html
hxxps: //www.readicut.co.uk/media/pdf/Bank_Statement00334891 [.] html
hxxp: //www.e-cig.com/doc/pdf/eStmt [.] html
hxxps: //www.genstattu.com/doc/PoliceStatement001854 [.] html
hxxps: //www.tokyoflash.com/pdf/statment001854 [.] html
hxxps: //www.readicut.co.uk/media/pdf/statment00789 [.] html

Uma vítima potencial de uma campanha maliciosa recebeu e-mail de spam, a carta continha um link para uma página de primeiro nível. Esta página é um pequeno documento HTML com um iframe, cujo conteúdo é carregado de uma página de segundo nível. A página de segundo nível é uma página de entrada com conteúdo que solicita ao destinatário que instale um determinado arquivo executável. No caso dessa campanha maliciosa, os atacantes usaram uma página de destino com o tema de instalar o plug-in ausente do Adobe Reader; portanto, a página de primeiro nível imitou um link para um arquivo PDF que foi aberto no modo de visualização on-line em um navegador. A página de segundo nível contém um link para um arquivo malicioso distribuído como parte de uma campanha maliciosa, que será baixada quando o botão Download do plug-in for clicado.

Uma análise das páginas usadas nesta campanha mostrou que geralmente as páginas de segundo nível estavam localizadas nos domínios dos atacantes, enquanto a página de primeiro nível e o arquivo diretamente malicioso estavam mais frequentemente nos sites de comércio eletrônico invadidos.

Exemplo de estrutura de página para distribuição de malware

Por meio de spam, uma vítima em potencial recebe um link para um arquivo HTML, por exemplo, hxxps: //www.healthcare4all [.] Co [.] Reino Unido / manuais / Statement00534521 [.] Html . O arquivo HTML por referência contém um elemento iframe com um link para o conteúdo principal da página; neste exemplo, o conteúdo da página está localizado em hxxps: // alloaypparel [.] com / view / public / Statement00534521 / PDF / Statement001854 [.] pdf . Como vemos neste exemplo, neste caso, os invasores usaram o domínio registrado, e não o site invadido, para hospedar o conteúdo da página. Na interface exibida por esse link, há um botão de plug-in de Download . Se a vítima clicar nesse botão, o arquivo executável será baixado do link especificado no código da página; neste exemplo, o arquivo executável é baixado em hxxps: //www.healthcare4all [.] co [.] uk / manuais / Adobe-Reader-PDF-Plugin-2.37.2.exe , ou seja, o próprio arquivo malicioso é armazenado no site invadido.

Mefistófeles do nosso tempo

Uma análise do domínio alloaypparel [.] Com revelou que a distribuição de malware usou o kit de phishing Mephistophilus para criar e implantar páginas de phishing para a distribuição de malware: O Mephistophilus usa vários tipos de páginas de entrada que solicitam ao usuário que instale o plug-in supostamente ausente necessário para o funcionamento do aplicativo. De fato, o usuário será instalado com malware, um link ao qual o operador adiciona através do painel administrativo Mephistophilus.

O sistema Mephistophilus para ataques direcionados de phishing foi lançado em fóruns clandestinos em agosto de 2016. Este é um kit de phishing padrão, usando falsificações na Web, oferecendo downloads de malware sob o pretexto de uma atualização de plug-in (MS Word, MS Excel, PDF, YouTube) para exibir o conteúdo de um documento ou página. Mephistophilus foi desenvolvido e lançado para venda pelo usuário de fóruns clandestinos sob o apelido Kokain. Para infectar com êxito usando um kit de phishing, o invasor precisa solicitar ao usuário que clique no link que leva à página gerada pelo Mephistophilus. Independentemente do tópico da página de phishing, aparece uma mensagem de que você precisa instalar o plug-in ausente para a exibição correta de um documento on-line ou vídeo do YouTube. Para fazer isso, o Mephistophilus possui vários tipos de páginas de phishing que imitam serviços legítimos:

Visualizador de Documentos Online do Microsoft Office365 Word ou Excel
Visualizador de PDF online
Página de clone do YouTube

Feridos

Como parte da campanha de malware, o grupo criminoso não se limitou ao uso de nomes de domínio auto-registrados: os invasores também usavam vários sites de lojas online que haviam sido infectados anteriormente com o farejador FakeSecurity para armazenar amostras de arquivos maliciosos distribuídos.

No total, foram descobertos 5 links exclusivos para 5 amostras únicas de malware, 4 dos quais foram armazenados em sites invadidos com o CMS Magento:

hxxps: //www.healthcare4all [.] co [.] uk / manuais / Adobe-Reader-PDF-Plugin-2.37.2.exe
hxxps: //www.genstattu [.] com / doc / Adobe-Reader-PDF-Plugin-2.31.4.exe
hxxps: // firstofbanks [.] com / file_d / Adobe-Reader-PDF-Plugin-2.35.8.exe
hxxp: // e-cig [.] com / doc / Adobe-Reader-PDF-Plugin-2.31.4.exe
hxxp: // thepinetree [.] net / docs / msw070619.exe

As amostras de malware distribuídas nesta campanha são amostras do modelador do Vidar projetado para roubar senhas de navegadores e alguns aplicativos. Ele também sabe como coletar arquivos de acordo com os parâmetros especificados e transferi-los para o painel administrativo, o que facilita, por exemplo, o roubo de arquivos de carteira de criptomoeda. O Vidar apresenta malware como serviço: todos os dados coletados são transmitidos ao portão e enviados ao painel de administração centralizado, onde cada comprador do estilista pode visualizar os logs provenientes dos computadores infectados.

Ladrão capaz

Vidar Styler apareceu em novembro de 2018. Foi desenvolvido e colocado à venda em fóruns clandestinos por um usuário sob o pseudônimo de Loadbaks. De acordo com a descrição do desenvolvedor, o Vidar pode roubar senhas de navegadores, arquivos por certos caminhos e máscaras, dados de cartões bancários, arquivos de carteira fria, correspondência por telegrama e Skype, além do histórico de navegação dos sites. O preço do aluguel do estilista é de US $ 250 a US $ 300 por mês. O painel de administração do modelador e os domínios usados como portas estão localizados nos servidores dos autores do Vidar, o que reduz os custos de infraestrutura para os clientes.

No caso do arquivo malicioso msw070619.exe , além de se espalhar usando a página de destino Mephistophilus, também foi detectado um arquivo DOC malicioso BankStatement0040918404.doc (MD5: 1b8a824074b414419ac10f5ded847ef1) , que soltou esse arquivo executável em disco usando macros. O arquivo DOC do BankStatement0040918404.doc foi anexado como um anexo a emails maliciosos, cuja distribuição fazia parte de uma campanha maliciosa.

Prepare o ataque

A carta detectada (MD5: 53554192ca888cccbb5747e71825facd) foi enviada para o endereço de contato do site que executa o CMS Magento, a partir do qual se pode concluir que os administradores de lojas on-line eram um dos alvos da campanha maliciosa, e o objetivo da infecção era acessar o Magento e outros painéis de administração de comércio eletrônico -plataforma para instalação subseqüente de um sniffer e roubo de dados de clientes de lojas infectadas.

Assim, o esquema de infecção como um todo consistia nas seguintes etapas:

Os invasores implantaram o painel administrativo do Mephistophilus Phishing Kit no host alloaypparel [.] Com .
Os invasores colocavam malware malicioso contra roubo de senha em sites legítimos invadidos e em seus próprios sites.
Usando um kit de phishing, os atacantes implantaram várias páginas de destino para a distribuição de malware, além de criar documentos maliciosos com macros que baixavam malware no computador do usuário.
Os invasores realizaram uma campanha de spam para enviar cartas com anexos maliciosos, bem como com links para páginas de entrada para a instalação de malware. Pelo menos parte dos objetivos do invasor são os administradores de sites de lojas online.
Quando o computador do administrador foi comprometido com sucesso, as credenciais roubadas foram usadas para acessar o painel administrativo da loja e instalar o sniffer JS para roubar cartões bancários de usuários que efetuam pagamentos no site infectado.

Link para outros ataques

A infraestrutura de ataque foi implantada em um servidor com o endereço IP 200.63.40.2, que pertence ao serviço de aluguel de servidores Panamaservers [.] Com . Antes da campanha FakeSecurity, esse servidor era usado para phishing e também para hospedar painéis administrativos de vários programas maliciosos para roubar senhas.

Com base nas especificidades da campanha FakeSecurity, podemos assumir que os painéis administrativos dos modeladores Lokibot e AZORUlt localizados neste servidor poderiam ser usados em ataques anteriores do mesmo grupo em janeiro de 2019. De acordo com este artigo , em 14 de janeiro de 2019, invasores desconhecidos distribuíram o malware Lokibot por correio em massa com um arquivo DOC malicioso em um anexo. Em 18 de janeiro de 2019, também foi conduzida uma lista de mala direta de documentos maliciosos que instalavam o malware AZORUlt. A análise desta campanha revelou os seguintes painéis administrativos localizados no servidor com o endereço IP 200.63.40.2:

http [:] // chuxagama [.] com / web-obtenha / Panel / five / PvqDq929BSx_A_D_M1n_a.php (Lokibot)
http [:] // umbra-diego [.] com / wp / Panel / five / PvqDq929BSx_A_D_M1n_a.php (Lokibot)
http [:] // chuxagama [.] com / web-obtenha / Panel / five / index.php (AZORUlt)

Os nomes de domínio chuxagama [.] Com e umbra-diego [.] Com foram registrados pelo mesmo usuário com o endereço de email dicksonfletcher@gmail.com. O mesmo endereço foi usado para registrar o nome de domínio worldcourrierservices [.] Com em maio de 2016, que foi usado como um site da empresa fraudulenta World Courier Service.

Com base no fato de que, como parte da campanha de malware FakeSecurity, os invasores usavam malware para roubar senhas e distribuí-lo por email de spam, e também usavam um servidor com um endereço IP 200.63.40.2, pode-se supor que uma campanha maliciosa foi realizada em janeiro de 2019 o mesmo grupo criminoso.

Indicadores

Nome do arquivo Adobe-Reader-PDF-Plugin-2.37.2.exe

MD5 3ec1ac0be981ce6d3f83f4a776e37622
SHA-1 346d580ecb4ace858d71213808f4c75341a945c1
SHA-256 6ec8b7ce6c9858755964f94acdf618773275589024e2b66583e3634127b7e32c
Tamanho 615984

Nome do arquivo Adobe-Reader-PDF-Plugin-2.31.4.exe

MD5 58476e1923de46cd4b8bee4cdeed0911
SHA-1 aafa9885b8b686092b003ebbd9aaf8e604eea3a6
SHA-256 15abc3f55703b89ff381880a10138591c6214dee7cc978b7040dd8b1e6f96297
Tamanho 578048

Nome do arquivo Adobe-Reader-PDF-Plugin-2.35.8.exe

MD5 286096c7e3452aad4acdc9baf897fd0c
SHA-1 26d71553098b5c92b55e49db85c719f5bb366513
SHA-256 af04334369878408898a223e63ec50e1434c512bc21d919769c97964492fee19
Tamanho 1069056