Ebola disseminado – em ataques cibernéticos também
O vírus Ebola vem se espalhando na África Ocidental desde a sua primeira aparição na Guiné em dezembro de 2013. Sua crescente taxa de infecção, alta taxa de mortalidade e desafiadores requisitos de isolamento e contenção levantaram um alarme mundial.
Seguindo o rastro dos oportunistas virtuais, o Websense® Security Labs encontrou duas distintas campanhas maliciosas que se aproveitam do problema do Ebola, tema que ainda será bastante explorado.
Campanha DarkKomet RAT / Backdoor
Com início em 10 de outubro de 2014, a rede Websense® ThreatSeeker® Intelligence Cloud detectou milhares de e-mails maliciosos que se aproveitam do tema Ebola. A linha de assunto é:
- Subject: Ebola Safety Tips-By WHO
“Sabemos que os criminosos cibernéticos vão tirar proveito de todas as oportunidades atuais para direcionar vítimas. Fazendo-se passar pela OMS, uma fonte confiável global de informações, e usando a ameaça do vírus Ebola, esses criminosos vem fazendo uso de fortes táticas de engenharia social para obrigar as vítimas a clicar no link. Não só é particularmente nefasta, mas é altamente eficaz. Os usuários devem ter cuidado e as empresas necessitam de soluções de segurança adequadas para evitar que esses ataques sejam bem-sucedidos”, disse Graziani Pengue, engenheiro de sistemas sênior da Websense.
No início da campanha, as mensagens continham uma URL de redirecionamento que levava as vítimas para um local de download de um arquivo RAR. O arquivo continha o DarkKomet RAT / Backdoor. O DarkKomet é uma ferramenta de administração remota (RAT), que fornece acesso completo a clientes remotos. Ele é usado por crackers para controlar o computador da vítima e roubar informações. Em e-mails mais recentes, a campanha evoluiu para incluir conexão direta de executáveis, e em seguida a conexão direta de um arquivo RAR contendo o executável. O exemplo abaixo mostra a variante de conexão ao RAR.
O malware nesta campanha contatava um servidor localizado na Romênia: 5.254.112.46:1604
ThreatScope identificou amostras do malware como maliciosas. Aqui estão duas variantes de arquivo na campanha:
SHA1: e2bdede8375da63998562f55a77d4b078d3b5646 Relatório de Análise ThreatScope: link
SHA1: 91ff874eb5bde1bb6703e01d7603d3126ddd01fc Relatório de Análise ThreatScope: link
CVE-2014-4114 e CVE-2014-6352 – vulnerabilidades de execução remota de código Windows OLE
Em 14 de outubro passado, a iSIGHT descobriu a vulnerabilidade CVE-2014-4114, utilizada na campanha Sandworm que visou a OTAN, a União Europeia e membros dos setores de telecomunicações e energia. A CVE-2014-4114 pode permitir a execução de código remoto se um usuário abrir um arquivo do Microsoft Office criado especialmente, o qual contém um objeto OLE. A vulnerabilidade está em todas as versões suportadas do Microsoft Windows, exceto Windows Server 2003. Como a vulnerabilidade não envolve corrupção de memória que pode resultar em shellcode e como está na categoria de ‘erro de projeto’, métodos de proteção como DEP e ASLR não são eficazes. Exemplo de código de exploração para o CVE-2014-4114 foi flagrado postado na web. Agentes criminosos poderiam usá-lo para criar um arquivo vulnerável do PowerPoint para espalhar o malware. Além disso, logo após a descoberta da CVE-2014-4114, uma vulnerabilidade muito semelhante, que também tem como alvo objetos OLE, veio à tona e é descrito como CVE-2014-6532. Enquanto a CVE-2014-4114 foi corrigida corrigida pela Microsoft, a CVE-2014-6532 ainda aguardava um patch.
O Websense® Security Labs tem notado que o tema Ebola foi usado excessivamente em relação à CVE-2014-4114. Uma amostra de uma fonte de terceiros, com o nome “Ebola in American.pps”, estava aproveitando a CVE-2014-4114 para baixar e executar uma carga útil de um endereço remoto através do protocolo SMB, que na maioria das vezes não é permitido conectar a endereços públicos da Internet.
- \\220.135.249.228\public\install.inf
- \\220.135.249.228\public\word.exe
É possível detectar a CVE-2014-6352 usando Yara. Aqui está uma regra Yara que pode ser executada em arquivos do Microsoft Office para trazer a vulnerabilidade à tona.
Clientes da Websense estão protegidos contra essa ameaça com o ACE, o Advanced Classification Engine, nos diferentes estágios do ataque detalhados abaixo:
- Fase 2 (Isca) – o ACE protege contra mensagens de e-mail iscas e URLs contendo a ameaça.
- Fase 4 (Exploração) – o ACE tem detecção em tempo real de código de exploração que tenta entregar a ameaça.
- Fase 5 (Dropper) – o ACE tem detecção para os arquivos maliciosos entregues por esta ameaça.
- Fase 6 (Call Home) – o ACE detecta a comunicação com os pontos C&C associados a esta ameaça.
Para obter mais informações, visite o blogue Websense Security Labs Blog em: http://community.websense.com/blogs/securitylabs/archive/2014/10/23/Ebola-Spreads-_2D00_-In-Cyber-Attacks-Too.aspx?cmpid=pr
Sobre a Websense, Inc.
Websense, Inc. é íder global na proteção das organizações contra ataques cibernéticos avançados e roubo de dados. As soluções de segurança abrangentes Websense TRITON unificam a segurança Web, de email, mobilidade e a prevenção de perda de dados (DLP) com o menor custo total de propriedade. Mais de 11.000 empresas dependem da inteligência de segurança Websense TRITON para evitar as ameaças persistentes avançadas, ataques direcionados e malware em evolução. Websense impede violações de dados, roubo de propriedade intelectual e reforça a conformidade de segurança e as melhores práticas. Uma rede global de parceiros de canal distribui soluções Websense TRITON escaláveis e unificadas para implementação em dispositivos locais ou em nuvem.
A Websense TRITON evita mais ameaças e para comprovar isso, visite www.websense.com/proveit. Para acessar as últimas análises de segurança da Websense e conectar através da mídia social, visite www.websense.com/smc. Para mais informações, visite www.websense.com e www.websense.com/triton.