O Websense Security Labs descobriu um novo malware emergente que utiliza técnicas de evasão e baixa um programa para minerar um cryptocurrency. O novo malware, batizado de ‘f0xy’, consegue alterar seu comando e controle (C&C) de maneira dinâmica, além de baixar e executar arquivos arbitrários. Um ponto interessante é que as táticas de evasão do f0xy incluem o VKontakte, uma rede social da Rússia, que utiliza o Background Intelligent Transfer Service para baixar arquivos.
O comportamento do f0xy confirma as previsões de segurança para 2015 da Websense, em que os hackers devem continuar ocultando suas estruturas de comando e controle em sites legítimos. A Websense acredita que esta será uma tendência crescente em 2015 já que os autores de malware percebem que as empresas de segurança encontram dificuldades para detectar conteúdo malicioso em sites legítimos.
Os clientes da Websense estão protegidos contra essa ameaça pelo ACE, o Motor de Classificação Avançada da empresa, durante os vários estágios dos ataques descritos abaixo:
- Estágio 5 (Dropper) – O ACE detecta os arquivos maliciosos usados por essa campanha e também detecta o comportamento malicioso utilizado pelo f0xy.
- Estágio 6 (Call Home) – O ACE detecta comunicações com os pontos de C&C associados ao programa de download do f0xy.
Relatório sandbox para o arquivo dropper do programa de download do f0xy:
http://csi.websense.com/ThreatScope/FileAnalysis?requestId=ddf3d016-d8ac-4220-969e-a42f002a0039
“O malware emergente f0xy utiliza técnicas de evasão especialmente avançadas, além de astúcia e truques para esconder-se atrás dos ruídos de comunicações legítimas. A descoberta da Websense destaca as técnicas sofisticadas usadas pelos hackers para baixar e executar arquivos arbitrários para, assim, resultar em lucro. A principal função do f0xy é baixar arquivos e possibilitar o desencadeamento de qualquer vírus por meio de um código malicioso. Hoje, o malware age nos bastidores, faz um reconhecimento do terreno e testa barreiras vulneráveis, o que representa uma ameaça grave. O comportamento do f0xy reflete as previsões da Websense Security Labs de que mais malware devem se esconder atrás do tráfego legítimo, migrando cada vez mais a sites legítimos para ocultar suas atividades maliciosas e evitar detecção. Ainda não encontramos qualquer indício que mostra uma tentativa de infeccionar computadores, mas estamos monitorando o f0xy”, disse Carl Leonard, Principal Analista de Segurança da Websense.
No rastro do f0xy
A análise do malware apontou apenas 5/57 detecções por parte das empresas de segurança para o arquivo dropper f522e0893ec97438c6184e13adc48219f08b67d8.
Depois de analisar a infraestrutura de C&C outros exemplos foram encontrados desde 13 de janeiro de 2015. Os analistas acreditam que o autor do malware alterou e aprimorou o código para aumentar sua credibilidade e eficiência, chegando a uma versão que funciona na maioria dos sistemas operacionais. As primeiras versões do malware devem rodar apenas no Windows 6.0 (Vista) ou em versões mais recentes do sistema operacional. Porém, as versões seguintes do malware também devem rodar no anterior Windows XP.
O malware foi batizado de ‘f0xy’ devido a alguns strings encontrados nos executáveis e a chave de registro criada para manter a persistência.
Até agora, não foi registrado nenhum indício na base de clientes sobre a tentativa de infectar uma máquina com o f0xy. O Websense Security Labs continuará monitorando a campanha, pois há riscos de ataques a usuários em um futuro próximo.
Táticas de discrição e evasão
O malware, como uma raposa, é conhecido por sua dissimulação e malícia. Existem três aspectos que ajudam o malware a passar despercebido:
- O malware utiliza muitos poucos códigos ou os strings para ofuscar e criar uma aparência de legitimidade e assim se esconder em plena vista;
- Um pedido é enviado à rede social VKontakte, da Rússia, que esconde o endereço do verdadeiro C&C;
- Finalmente, o malware utiliza o serviço de Background Inteligente Transfere da Microsoft para terceirizar seu tráfego de rede e evitar detecção de serviços de segurança.
Obviamente, os hackers ainda querem lucrar e o anonimato de um cryptocurrency é um canal mais seguro para recolher os recursos desviados. Também se prevê um número maior de autores de malware que migram para sites legítimos com o intuito de ocultar suas atividades maliciosas e são esperadas muitas novas táticas de evasão para iludir os programas de segurança. O ThreatSeeker® Intelligence Cloud da Websense foi configurado para encontrar outros indícios de infecção e também foi implementado o uso de ferramentas como Yara para suplementar as próprias análises da empresa.