.
Os criminosos de malware estão cada vez mais demonstrando uma tendência a abusar de aplicativos empacotadores comerciais legítimos para evitar a detecção.
Jiří Vinopal, pesquisador de ameaças da Check Point Research, diz que a tendência se tornou especialmente popular nos últimos 12 meses, e o BoxedApp é um dos produtos que parece estar entre os mais favorecidos.
Algumas das variedades de malware mais prevalentes no mundo estão abusando do BoxedApp para evitar análises estáticas, afirma o pesquisador. A grande maioria são trojans de acesso remoto (RATs), como Agent Tesla, AsyncRAT e QuasarRat, embora outros casos tenham envolvido cepas de ransomware, como variantes do LockBit, e infostealers, como o Redline.
O gráfico mostra o aumento nas amostras maliciosas do BoxedApp enviadas ao VirusTotal, cortesia da Check Point Research – clique para ampliar
BoxedApp já existe há vários anos, mas o abuso de seu SDK aumentou a partir de março de 2023. Ele oferece uma série de benefícios para os invasores, uma variedade que a Check Point Research acredita superar os negativos.
Entre os recursos mais notáveis que o BoxedApp oferece, aqueles que interessariam especialmente aos malfeitores são:
-
Armazenamento virtual
-
Processos Virtuais
-
Cadastro Virtual
O especialista em segurança de aplicativos Sean Wright nos disse: “Os processos virtuais podem tornar mais difícil para o antimalware e outros sistemas de proteção de endpoint detectarem o malware em execução por meio do BoxedApp SDK. Muitos desses produtos dependem do fato de que esses processos são executados diretamente no sistema em oposição a um processo virtualizado, que poderia então ser ocultado das ferramentas de proteção.
“Talvez uma maneira mais fácil de pensar nisso seja um processo executado em uma máquina virtual, embora provavelmente fosse um pouco mais sutil do que isso. Portanto, do ponto de vista do invasor, isso ajuda a evitar a detecção, que seria um de seus principais objetivos. Quanto mais tempo eles passarem despercebidos, mais dados poderão potencialmente obter acesso.”
Os programas BoxedApp tendem a gerar uma alta taxa de falsos positivos quando verificados por soluções antivírus, de acordo com a Check Point Research. Mesmo aplicativos não maliciosos compactados com BoxedApp, como um simples programa “Hello World”, são sinalizados por muitos mecanismos antivírus, acrescenta o relatório.
Uma análise de 1.200 amostras genuinamente maliciosas enviadas ao VirusTotal – a plataforma de malware de propriedade do Google que mostra quais soluções de fornecedores enviam alertas para diferentes cargas úteis – descobriu que 25% foram sinalizadas quando empacotadas usando BoxedApp.
No entanto, isso pode ser visto como negativo ou positivo, dependendo da sua perspectiva. Embora o malware empacotado pelo BoxedApp tenha uma chance razoável de acionar avisos no SOC de uma organização, ele também pode fazer o jogo dos invasores, pois as equipes de segurança podem desativar alertas relacionados a aplicativos que executam o SDK do BoxedApp.
“Meu conselho às organizações é limitar o uso de aplicativos BoxedApp, se possível”, disse Wright. “Se você precisar usar esses tipos de aplicativos, aproveite controles como a assinatura desses aplicativos, que como [Check Point Research’s] O artigo indica que também pode ajudar a reduzir as taxas de falsos positivos.
O gráfico mostra amostras maliciosas de BoxedApp por país enviadas ao VirusTotal, cortesia da Check Point Research – clique para ampliar
Ao analisar mais profundamente os envios do VirusTotal, Vinopal descobriu que a maioria veio da Turquia, dos EUA e da Alemanha, embora pequenas porcentagens tenham sido relatadas em países de todo o mundo.
“A maioria das amostras maliciosas atribuídas foram usadas em ataques contra instituições financeiras e indústrias governamentais”, escreveu o pesquisador no blog. “O uso de produtos BoxedApp para empacotar cargas maliciosas permitiu que os invasores reduzissem a taxa de detecção, reforçassem suas análises e usassem os recursos avançados do BoxedApp SDK, por exemplo, armazenamento virtual, que normalmente levaria muito tempo para ser desenvolvido do zero.”
O registro abordou o BoxedApp para comentar, mas ele não respondeu imediatamente.
Para aqueles que procuram maneiras de detectar melhor os abusos do BoxedApp, a Check Point Research fornece um conjunto de assinaturas Yara em seu relatório para ajudar a detectar o empacotador enquanto extrai todos os detalhes e hashes binários do aplicativo compactado. ®
.
