.
Ataques de publicidade maliciosa estão sendo usados para distribuir carregadores .NET virtualizados que são altamente ofuscados e lançam malwares ladrões de informações.
Os carregadores, apelidados de MalVirt, são implementados em .NET e usam virtualização por meio do legítimo protetor de virtualização KoiVM para aplicativos .NET, de acordo com pesquisadores de ameaças do SentinelOne’s SentinelLabs. A ferramenta KoiVM ajuda a ofuscar a implementação e execução dos carregadores MalVirt.
Os carregadores estão distribuindo a coleção de malware para roubo de informações do Formbook como parte de uma campanha em andamento, escrevem os pesquisadores em um relatório fora esta semana. O Formbook e a versão mais recente do XLoader vêm com uma variedade de ameaças, desde keylogging e roubo de captura de tela até roubo de credenciais e malware adicional de teste.
“A distribuição deste malware através dos carregadores MalVirt é caracterizada por uma quantidade incomum de técnicas de anti-análise e anti-detecção aplicadas”, escrevem eles.
É também o exemplo mais recente de malfeitores se adaptando à Microsoft no ano passado. bloqueio macros por padrão no Word, Excel e PowerPoint para encerrar uma via de ataque popular. Após a mudança da Microsoft, os invasores estão recorrendo a outras opções, como arquivos LNK, anexos ISO e RAR e suplementos XLL do Excel (que a Microsoft endereçado em janeiro).
O malvertising também está tendo uma rápida adoção.
“Malvertising é um método de entrega de malware que atualmente é muito popular entre os agentes de ameaças, marcado por um aumento significativo de anúncios maliciosos em mecanismos de pesquisa nas últimas semanas”, escreve o SentinelOne.
O malware Formbook e XLoader são vendidos na dark web e geralmente distribuídos por meio de anexos em e-mails de phishing ou malspam por meio de documentos do Office habilitados para macro – embora essa porta tenha sido fechada.
Eles também são normalmente usados para motivações típicas de crimes cibernéticos. No entanto, o SentinelOne observa que os ladrões de informações foram usados por motivos políticos, inclusive por meio de e-mails de phishing vinculados à invasão russa da Ucrânia e enviei para organizações estatais ucranianas.
“No caso de um carregador intrincado, isso pode sugerir uma tentativa de cooptar métodos de distribuição cibercriminosos para carregar malware de segundo estágio mais direcionado em vítimas específicas após a validação inicial”, escrevem os pesquisadores.
O SentinelOne encontrou pela primeira vez uma amostra do MalVirt ao examinar os resultados do anúncio durante uma pesquisa de rotina no Google por “Blender 3D”. Posteriormente, os pesquisadores ficaram impressionados com o quanto os criminosos foram para evitar a detecção e análise dos carregadores e malware de roubo de informações.
Isso incluiu os carregadores MalVirt usando assinaturas e contra-assinaturas da Microsoft, Acer, DigiCert, Sectigo e outras empresas, mas as assinaturas são inválidas ou criadas usando certificados inválidos, ou os sistemas não confiam nos certificados.
Os carregadores também usam uma série de técnicas de antidetecção e antianálise, com algumas amostras corrigindo certas funções para ignorar a ferramenta Anti Malware Scan Interface para detectar comandos maliciosos do PowerShell ou decodificar e descriptografar strings codificadas em Base 64 e criptografadas em AES .
Algumas amostras do MalVirt também determinam se estão sendo executadas em uma máquina virtual ou ambiente de sandbox, às vezes consultando chaves de registro para detectar os ambientes VirtualBox ou VMware.
Dito isso, o uso da virtualização .NET para evitar detecção e análise é uma “marca registrada” dos carregadores MalVirt, com o VoiVM sendo modificado com outras técnicas de ofuscação, escrevem os pesquisadores. Ele ecoa uma campanha que o K7 Security Labs escrevi aproximadamente em dezembro de 2022.
Os malfeitores por trás do malware Formbook e XLoader estão mostrando, por meio da distribuição da MalVirt, que estão se expandindo além do phishing e adotando a crescente tendência de malvertising. O SentinelOne escreve que “dado o enorme tamanho do público que os agentes de ameaças podem alcançar por meio de malvertising, esperamos que o malware continue sendo distribuído usando esse método”. ®
.
