Enquanto terminávamos a nossa análise acerca de um surto recente de spam malicioso direcionado à Rússia, percebemos que outra campanha, não relacionada, que recorre a JavaScript, atingiu níveis preocupantes nos nossos sistemas de telemetria.
Aparentemente, a campanha de spam “Love You” lançada em meados de janeiro foi modificada e atingiu o Japão com muita força.
Com base nos dados que recolhemos até agora, a última campanha “Love You” foi lançada no dia 28 de janeiro de 2019 e atingiu neste momento o dobro da proporção da vaga original.
Importa salientar que à semelhança do que aconteceu em meados de janeiro, os e-mails de spam distribuem diversas cargas maliciosas, com algumas atualizações: observámos tentativas de download de um cryptominer, um sistema que troca as configurações do sistema, um downloader mal-intencionado, o worm Phorpiex e o infame Ransomware GandCrab versão 5.1.
A partir de 29 de janeiro de 2019, a grande maioria das detecções situa-se no Japão (95%), com dezenas de milhares de e-mails maliciosos a serem detetados a cada hora. No mesmo dia, o JS/Danger.ScriptAttachment – o nome da ESET para um JavaScript malicioso distribuído através de anexos de e-mail – foi a quarta ameaça mais detectada em todo o mundo e a principal ameaça no Japão, como visto na próxima imagem.
Cenário de ataque na campanha direcionada ao Japão
Nesta última campanha, os atacantes alteraram as mensagens dos e-mails maliciosos, mudando do tema romântico da campanha inicial “Love You” de meados de janeiro para os tópicos relevantes do Japão. O que permanece igual é a grande utilização de smileys em assuntos de e-mail e corpo do texto.
Os e-mails que observámos durante a nossa análise têm as seguintes linhas de assunto:
•: D
• Yui Aragaki;)
• Kyary Pamyu Pamyu;)
• Kyoko Fukada;)
• Yuriko Yoshitaka;)
• Sheena Ringo;)
• Misia;)
(Nota: todos são artistas japoneses populares.)
Os ficheiros maliciosos nos e-mails analisados são ZIPs disfarçados de imagens, com nomes no formato “PIC0- [número de 9 dígitos] 2019-jpg.zip”. A Figura 3 revela exemplos de tais emails maliciosos.
Os ficheiros ZIP contêm um JavaScript com o mesmo formato de nome, terminando apenas em “.js”. Uma vez extraído e lançado, descarrega a carga necessária à primeira fase a partir do servidor de C&C dos invasores, um ficheiro EXE detectado pelos produtos da ESET como Win32 / TrojanDownloader.Agent.EJN.
Os URLs que alojam esta carga têm caminhos terminados em “bl * wj * b.exe” e “krabler.exe”. Estas cargas foram descarregadas para “C: \ Users \ [nome de utilizador] \ AppData \ Local \ Temp [random] .exe ”.
Esta carga alusiva à primeira fase faz o download de uma ou mais das seguintes cargas finais do mesmo servidor C&C:
• O ransomware GandCrab, versão 5.1
• um criptominer
• O worm Phorpiex
• Um downloader específico de idioma (definido para descarregar cargas adicionais somente se as configurações de idioma do computador afetado sugerirem que a vítima está localizada na China, Vietnam, Coreia do Sul, Japão, Turquia, Alemanha, Austrália ou Reino Unido)
• Um sistema que troca as configurações do sistema
A versão 5.1 do ransomware GandCrab encripta ficheiros e acrescenta uma extensão aleatória de 5 caracteres aos nomes.
As cargas nesta campanha atualizada são descarregadas a partir do endereço IP 92.63.197 [.] 153, que parece estar localizado na Ucrânia, e foi usado na campanha “Love You” desde o início em meados de janeiro.
Como se manter seguro
Para evitar ser vítima de spam malicioso, verifique sempre a autenticidade dos e-mails antes de abrir qualquer anexo ou clicar nos links.
Se é utilizador do Gmail, saiba que esta plataforma bloqueia anexos de JavaScript em e-mails recebidos e enviados há quase dois anos.
Entretanto, os utilizadores de outros serviços de email, incluindo servidores de email da empresa, devem ter o máximo cuidado no que abrem, a menos que utilizem alguma solução de segurança capaz de detectar e bloquear ficheiros JavaScript mal-intencionados.
Vários módulos diferentes dos produtos de segurança da ESET detectam e bloqueiam de forma independente esses ficheiros JavaScript maliciosos e / ou os objetos que descarregam posteriormente.