Palo Alto Networks alerta para ataques a bancos

Paulo Brito
16/02/2015

Durante as duas primeiras semanas deste ano, foram descobertas novas invasões com o vírus Dridex Trojan – última versão do trojan Bugat/Feodo/Cridex de ataque a bancos que visa roubar credenciais de websites de instituições financeiras online e permitir o uso criminoso dessas informações com objetivo de realizar transferência e furto de fundos. Em outubro passado, a Palo Alto Networks anunciou uma série de ataques que usaram este vírus e comandos macros em documentos Microsoft Word.

O Dridex está sendo propagado por meio de uma campanha de email que contém um documento de Word em anexo, que utiliza um código macro para baixar e executar uma cópia do vírus.

O Dridex tem como alvo os bancos de todo o mundo, porém, em outubro, a maioria dos emails que a Palo Alto Networks rastreou foi destinada aos Estados Unidos e – na época – em menor volume ao Reino Unido. Desta vez, o Reino Unido tornou-se o principal alvo, pois mais de um terço dos ataques ocorreu lá.

Muitos dos nomes mais comuns referem-se ao BACS (Bankers’ Automated Clearing Services), que é utilizado para transferências no Reino Unido. Outro grupo de emails dizia ser uma nota fiscal do Les Mills, uma rede de academias. Esta campanha tinha o objetivo de atingir pessoas que se comprometeram a entrar em forma em 2015 na Grã-Bretanha.

Em outubro, a Palo Alto Networks identificou seis URLs usados pelos documentos de Word para baixar o Dridex Trojan. Nas últimas duas semanas, foram detectados arquivos utilizados em 43 diferentes localizações de download:

Muitas dessas URLs estão hospedadas em sites confiáveis, mas não há um padrão claro para indicar como elas estão tomando o controle de websites. Entretanto, existem agrupamentos de fácil identificação de padrões para o download de URLs. Um grupo se baseia no caminho de executáveis e outro utiliza “mops/pops” do php. Estas URLs estão codificadas com os macros incluídos em cada arquivo. Se você está interessado em extraí-las, o pesquisador Rodel Mendrez do SpiderLabs escreveu um guia rápido usando a linguagem Python. Se você prefere um caminho mais simples, o documento de Didier Steven contém um plug-in que irá automaticamente decodificar e extrair estas URLs, como a figura mostra abaixo. 

A solução WildFire da Palo Alto Networks detecta todas esses ataques baseados em código macro usando nossa tecnologia sandbox. Nesse sentido, é recomendável desabilitar os macros no Microsoft Word. Os malwares baseados em conjunto de comandos macro têm circulado pelo mundo por mais de uma década. A maioria das organizações pode desabilitá-los como proteção, permitindo macros somente em arquivos confiáveis.

 

 

Compartilhar: