StrongPity2 substitui FinFisher em campanha Man-in-The-Middle

0

Continuando a nossa investigação ao FinFisher – o infame spyware conhecido também como FinSpy e vendido aos governos e às suas agências em todo o mundo – percebemos que o malware da FinFisher que documentámos no primeiro artigo que escrevemos tinha fortes indicadores do envolvimento de um ISP que substituía aplicações fidedignas por diferentes spywares. Detectado pela ESET como Win32 / StrongPity2, este spyware assemelha-se bastante a um que foi atribuído ao grupo StrongPity. Importa salientar que para além de detectar e bloquear esta ameaça, todos os produtos ESET – incluindo o ESET Online Scanner que é grátis – limpa completamente os sistemas comprometidos pelo StrongPity2.

Conforme relatámos em setembro, nas campanhas que detetámos em dois países diferentes, os ataques Man-in-the-Middle (MitM) foram utilizados para espalhar o FinFisher, com o “homem” nos dois casos a operar provavelmente ao nível do ISP. De acordo com os nossos sistemas de telemetria, essas campanhas foram encerrada a 21 de setembro de 2017 – o próprio dia em que publicámos a nossa investigação.

A 8 de outubro de 2017, a mesma campanha tornou a surgir nesses dois países, através da mesma estrutura de redirecionamentos HTTP para alcançar o redirecionamento no browser em tempo real. A única diferença é que desta vez apenas foi distribuído o Win32 / StrongPity2 ao invés do FinFisher . Analisámos o novo spyware e imediatamente descobrimos várias semelhanças com ameaças alegadamente operadas pelo grupo StrongPity no passado.

A primeira semelhança é o cenário de ataque – os utilizadores que tentam descarregar um pacote de instalação de software foram redirecionados para um site falso que serve uma versão modificada do pacote de instalação esperado. O grupo StrongPity foi observado a executar estes ataques no verão de 2016 que visavam principalmente utilizadores italianos e belgas de software de encriptação.

Durante a nossa investigação, encontrámos diversos pacotes de software modificados com o Win32 / StrongPity2:

  • CCleaner v 5.34
  • Driver Booster
  • O navegador Opera
  • Skype
  • O VLC Media Player v2.2.6 (32 bits)
  • WinRAR 5.50

Desde o início da campanha, os nossos sistemas registaram mais de cem detecções desse malware.

Encontrámos uma série de outras semelhanças entre o malware operado pela StrongPity e a forma como o Win32 / StrongPity2 é implementado:

Algumas partes do código são exatamente as mesmas

As estruturas (não exatamente comuns) de ficheiros de configuração partilham algumas semelhanças notáveis, como mostrado na Figura 1:

  • Ambos utilizam o mesmo algoritmo de ofuscação (um byte muito incomum ^ = ((Byte & 0xF0) >> 4)
  • Ambos utilizam o mesmo (já antigo) libcurl versão 7.45
  • Ambos exfiltram os arquivos da mesma forma (a carga útil principal controla a exfiltração de ficheiros recolhidos anteriormente e salvos por um módulo dedicado)

O Win32/StrongPity2 visa ainda diversos ficheiros com as extensões:

  • .ppt
  • .pptx
  • .xls
  • .xlsx
  • .txt
  • .doc
  • .docx
  • .pdf
  • .rtf

Enquanto procura evita estas pastas:

  • %Windows%
  • %Windows.old%
  • %AppData%
  • %Program Files%
  • %Program Files (x86)%
  • %ProgramData%

Para além da exfiltração de dados, o Win32 / StrongPity2 é capaz de descarregar e executar praticamente qualquer outro software (mal-intencionado) à escolha do invasor, graças aos privilégios obtidos pela conta comprometida.

Para determinar se um sistema está infectado com o Win32 / StrongPity2, pode analisá-lo  com o ESET Online Scanner que é gratuito e permite ainda remover a ameaça.

DEIXE UMA RESPOSTA

Please enter your comment!
Please enter your name here

*