Los operadores de malware TrickBot están comprobando la resolución de la pantalla del sistema de las víctimas como un nuevo método para evadir la detección por parte del software y el análisis de los investigadores.
Esta función se incorporó al malware el año pasado y pone fin a la cadena de infección si un dispositivo utiliza resoluciones de pantalla distintas de las predeterminadas 800x600 y 1024x768.
Los investigadores a menudo analizan el malware en las máquinas virtuales que vienen con la configuración predeterminada para los servicios en ejecución, el nombre de la máquina, la tarjeta de red, los recursos de la CPU y la resolución de la pantalla.
Los desarrolladores de malware conocen estas características y aprovechan la implementación de métodos que detienen el proceso de infección en sistemas identificados como máquinas virtuales.
En las muestras de malware TrickBot encontradas el año pasado, el ejecutable incluía código JavaScript que verificaba la resolución de pantalla del sistema en el que se estaba ejecutando.
Recientemente, el grupo de investigación de seguridad Cryptolaemus descubrió que el archivo adjunto HTML de una campaña de malspam de TrickBot se comportaba de manera diferente en una máquina real y en una virtual.
El archivo adjunto descargó un archivo ZIP malicioso en un sistema físico, pero lo redirigió al sitio web de ABC (American Broadcasting Company) en un entorno virtual.
Si el objetivo abre el HTML en su navegador web, la secuencia de comandos maliciosa se decodifica y la carga útil se implementa en su dispositivo.
El correo electrónico con el archivo adjunto era una alerta falsa para comprar un seguro, con detalles agregados a un archivo HTML adjunto. Al abrir el archivo, se mostraba un mensaje pidiendo paciencia para que se cargara el documento con una contraseña para acceder a él (ver imagen a continuación).
En la máquina de un usuario normal, la cadena de infección continúa con la descarga de un archivo ZIP que incluye el ejecutable TrickBot.
La descarga de malware de esta forma es una técnica conocida como contrabando de HTML. Permite a los piratas informáticos eludir los filtros de contenido de los navegadores y colocar archivos maliciosos en la computadora de la víctima, incluido JavaScript codificado en un archivo HTML.
Si bien esto parece ser una innovación de los operadores de TrickBot, el truco no es nada nuevo y se ha visto antes en ataques que atraían a las víctimas a sitios de phishing.
En marzo de este año , el investigador de seguridad MalwareHunterTeam encontró un kit de phishing que incluía un código para verificar la resolución de la pantalla del sistema.
Desde entonces, la táctica se ha utilizado repetidamente en varias campañas de phishing como un medio para evadir la detección.
El script determina si el usuario que accede a la página de phishing usa una máquina virtual o física al verificar si el navegador web usa un renderizador de software como SwiftShader, LLVMpipe o VirtualBox, que generalmente significa un entorno virtual.
El script también comprueba si los colores de la pantalla del visitante están configurados en menos de 24 bits o si la altura y el ancho de la pantalla son menos de 100 píxeles.
TrickBot no utiliza el mismo script que el anterior, sino que se basa en la misma táctica para detectar la zona de pruebas de un investigador. Anteriormente, el malware solo escaneaba las resoluciones de pantalla 800x600 y 1024x768, que son indicativas de una máquina virtual.
Fuente: Bleeping Computer
Cuente con International IT para proteger a su empresa de los ciberataques con lo mejor del mercado.
Descubra nuestras soluciones avanzadas, robustas y seguras para NOC & SOC, Zero Trust, Next-Gen Firewalls, LGPD, Hardware, Monitoramento de Rede, Transferência de Arquivos Gerenciada, Consultoria de TIC, Treinamentos, Sustentação de Aplicações, Outsourcing, Licenciamento Geral e Help Desk.
