Na conferência Virus Bulletin que decorreu em Seattle no mês passado, falámos sobre como o troiano BlackEnergy que evoluiu para uma ferramenta maliciosa utilizada para espionagem na Ucrânia e na Polónia.

Este malware tem vários vectores de infecção e que têm vindo a ser utilizados na campanha BlackEnergy que se encontra a decorrer. Eis os principais:

Documentos do Microsoft Word que contêm exploits, por exemplo, a vulnerabilidade CVE-2014-1761
Executáveis ​​com um ícone do Microsoft Word, para levar a vítima a abri-los
Exploração de Java
Instalação através do software de controlo remoto TeamViewer
Documentos do Microsoft PowerPoint que contêm a vulnerabilidade CVE-2014-4114

Nas próximas linhas vamos fornecer algumas informações adicionais acerca da mais recente variante e como um ficheiro PowerPoint modificado, levou à execução de um dropper BlackEnergy.

Abaixo está uma imagem do email que chega às vítimas:

email

A essência do texto do e-mail em Ucraniano é que o primeiro-ministro da Ucrânia, Arseniy Yatsenyuk, está a instruir o Gabinete do Procurador-Geral, o Serviço de Segurança da Ucrânia, o Ministério da Administração Interna e o Ministério da Justiça para verificarem membros do parlamento, partidos e ONG na Ucrânia em busca de qualquer envolvimento com o apoio de rebeldes no leste da Ucrânia. No anexo encontra-se supostamente uma lista de potenciais apoiantes do terrorismo.

Se o recipiente

Se o destinatário se deixar enganar e abrir o anexo ppsx, verá o que seria de esperar a partir da descrição do e-mail, ou seja, uma lista de nomes:

spiski2

O que é mais importante, porém, é o que acontece em segundo plano. O pacote PowerPoint continha dois objetos OLE incorporados, cada um com um caminho remoto onde o recurso está localizado. Os dois arquivos têm os nomes de slide1.gif e slides.inf.

ole_objects_

O carregamento desses ficheiros é uma funcionalidade do Microsoft PowerPoint que porém acaba por ser uma perigosa, uma vez que os objetos podem ser descarregados a partir de uma localização na rede insegura e executados sem quaisquer avisos ou pop-ups. Um problema resolvido na correcção MS12-005.

Então no que consistem os ficheiros descarregados? O ficheiro .gif não é uma imagem mas sim um dropper camuflado do BlackEnergy Lite. Os ficheiros .INF são executáveis e tipicamente utilizados para se instalarem controladores no sistema.

Neste caso em particular, o trabalho do ficheiro .INF era renomear o dropper BlackEnergy de slide1.gif para slide1.gif.exe e executá-lo utilizando uma entrada simples no Registo do Windows:

inf

Exploits com funcionalidades semelhantes são conhecidos desde 2012, mas sem terem grande utilização. Depois de termos visto esta utilizada activamente por malware in-the-wild, a ESET reportou-a à Microsoft em Setembro de 2014.

Agora a vulnerabilidade é conhecida como CVE-2014-4114 e a Microsoft criou uma correção para a mesma.

Deixe uma resposta

O seu endereço de email não será publicado. Campos obrigatórios marcados com *

*