Na conferência Virus Bulletin que decorreu em Seattle no mês passado, falámos sobre como o troiano BlackEnergy que evoluiu para uma ferramenta maliciosa utilizada para espionagem na Ucrânia e na Polónia.
Este malware tem vários vectores de infecção e que têm vindo a ser utilizados na campanha BlackEnergy que se encontra a decorrer. Eis os principais:
Documentos do Microsoft Word que contêm exploits, por exemplo, a vulnerabilidade CVE-2014-1761
Executáveis com um ícone do Microsoft Word, para levar a vítima a abri-los
Exploração de Java
Instalação através do software de controlo remoto TeamViewer
Documentos do Microsoft PowerPoint que contêm a vulnerabilidade CVE-2014-4114
Nas próximas linhas vamos fornecer algumas informações adicionais acerca da mais recente variante e como um ficheiro PowerPoint modificado, levou à execução de um dropper BlackEnergy.
Abaixo está uma imagem do email que chega às vítimas:
A essência do texto do e-mail em Ucraniano é que o primeiro-ministro da Ucrânia, Arseniy Yatsenyuk, está a instruir o Gabinete do Procurador-Geral, o Serviço de Segurança da Ucrânia, o Ministério da Administração Interna e o Ministério da Justiça para verificarem membros do parlamento, partidos e ONG na Ucrânia em busca de qualquer envolvimento com o apoio de rebeldes no leste da Ucrânia. No anexo encontra-se supostamente uma lista de potenciais apoiantes do terrorismo.
Se o recipiente
Se o destinatário se deixar enganar e abrir o anexo ppsx, verá o que seria de esperar a partir da descrição do e-mail, ou seja, uma lista de nomes:
O que é mais importante, porém, é o que acontece em segundo plano. O pacote PowerPoint continha dois objetos OLE incorporados, cada um com um caminho remoto onde o recurso está localizado. Os dois arquivos têm os nomes de slide1.gif e slides.inf.
O carregamento desses ficheiros é uma funcionalidade do Microsoft PowerPoint que porém acaba por ser uma perigosa, uma vez que os objetos podem ser descarregados a partir de uma localização na rede insegura e executados sem quaisquer avisos ou pop-ups. Um problema resolvido na correcção MS12-005.
Então no que consistem os ficheiros descarregados? O ficheiro .gif não é uma imagem mas sim um dropper camuflado do BlackEnergy Lite. Os ficheiros .INF são executáveis e tipicamente utilizados para se instalarem controladores no sistema.
Neste caso em particular, o trabalho do ficheiro .INF era renomear o dropper BlackEnergy de slide1.gif para slide1.gif.exe e executá-lo utilizando uma entrada simples no Registo do Windows:
Exploits com funcionalidades semelhantes são conhecidos desde 2012, mas sem terem grande utilização. Depois de termos visto esta utilizada activamente por malware in-the-wild, a ESET reportou-a à Microsoft em Setembro de 2014.
Agora a vulnerabilidade é conhecida como CVE-2014-4114 e a Microsoft criou uma correção para a mesma.
