Uma campanha de malvertising em curso está a ser utilizada para distribuir carregadores .NET virtualizados que são concebidos para implementar o malware de roubo de informação do FormBook.
“Os carregadores, dublados MalVirt, usam a virtualização ofuscada para anti-análise e evasão juntamente com o driver do Windows Process Explorer para terminar processos”, investigadores Aleksandar Milenkoski e Tom Hegel da SentinelOne disse num relatório técnico.
A mudança para a malvertising no Google é o mais recente exemplo de como os actores do crimeware estão a conceber rotas de entrega alternativas para distribuir malware desde que a Microsoft anunciou planos para bloquear a execução de macros no Office por defeito a partir de ficheiros descarregados a partir da Internet.
A malversação implica colocar anúncios desonestos nos motores de busca na esperança de enganar os utilizadores que procuram software popular como o Blender a descarregar o software trojanizado.
Os carregadores MalVirt, que são implementados em .NET, utilizam o legítimo KoiVM virtualizando protector para aplicações .NET numa tentativa de esconder o seu comportamento e são encarregados de distribuir a família de malware FormBook.
Para além de incorporar técnicas anti-análise e anti-detecção para escapar à execução dentro de uma máquina virtual ou num ambiente de caixa de areia de aplicação, verificou-se que os carregadores empregam uma versão modificada de KoiVM que se embala em camadas adicionais de obscurecimento a fim de tornar a decifração ainda mais desafiante.
Os carregadores também implantam e carregam um Microsoft assinado Process Explorer condutor com o objectivo de realizar acções com elevadas permissões. Os privilégios, por exemplo, podem ser armados para terminar processos associados ao software de segurança para evitar ser sinalizado.
Tanto o FormBook como o seu sucessor, XLoader, implementam uma vasta gama de funcionalidades, tais como o keylogging, o roubo de screenshot, a colheita de web e outras credenciais, e a encenação de malware adicional.
As estirpes de malware são também notáveis por camuflar o seu tráfego de comando e controlo (C2) entre pedidos HTTP de cortina de fumo com conteúdo codificado para vários domínios de engodo, como previamente revelado por Zscaler e Check Point no ano passado.
“Como resposta às macros do Microsoft blocking Office por defeito em documentos da Internet, os actores da ameaça voltaram-se para métodos alternativos de distribuição de malware – mais recentemente, a malvertising”, disseram os investigadores.
“Os carregadores MalVirt […] demonstrar o esforço que os actores da ameaça estão a investir para evitar a detecção e a análise de obstáculos”.
É pertinente que o método já esteja a testemunhar um spike devido à sua utilização por outros actores criminosos para empurrar os ladrões IcedID, Raccoon, Rhadamanthys, e Vidar nos últimos meses.
“É provável que um actor ameaçador tenha começado a vender a malvertising como um serviço na teia escura, e há uma grande procura,” Abuse.ch disse num relatório, apontando uma possível razão para a “escalada”.
Os resultados chegam dois meses após os Laboratórios de Segurança K7 baseados na Índia detalhado uma campanha de phishing que aproveita um carregador .NET para largar Remcos RAT e Agent Tesla por meio de um binário virtualizado KoiVM.
Nem todos são anúncios maliciosos, contudo, uma vez que os adversários também estão a experimentar com outros tipos de ficheiros como os add-ins (XLLs) do Excel e os anexos de correio electrónico OneNote para passar furtivamente pelos perímetros de segurança. Juntar-se recentemente a esta lista é a utilização de add-ins do Visual Studio Tools for Office (VSTO) como um veículo de ataque.
“VSTO add-ins podem ser embalados juntamente com documentos Office (Local VSTO), ou, em alternativa, podem ser obtidos de um local remoto quando um documento VSTO-Bearing Office é aberto (Remote VSTO),” Deep Instinct divulgado na semana passada. “Isto, no entanto, pode exigir a ultrapassagem de mecanismos de segurança relacionados com a confiança”.