Buscando ser ainda mais “invisível”, o TrickBot agora verifica a resolução da tela para evitar os pesquisadores e softwares de segurança.
Os operadores de malware TrickBot têm usado um novo método para verificar a resolução da tela do sistema da vítima para evitar a detecção do software de segurança e a análise dos pesquisadores.
TrickBot agora verifica a resolução da tela para evitar os pesquisadores
No ano passado, a gangue TrickBot adicionou um novo recurso ao malware que encerrava a cadeia de infecção se um dispositivo estava usando resoluções de tela não padrão de 800×600 e 1024×768.
Em uma nova variação detectada por pesquisadores de ameaças, o código de verificação foi adicionado ao anexo HTML do spam entregue à vítima em potencial.
Os pesquisadores geralmente analisam malware em máquinas virtuais que vêm com certas particularidades – especialmente em configurações padrão – como serviços em execução, nome da máquina, placa de rede, recursos de CPU e resolução de tela.
Os desenvolvedores de malware estão cientes dessas características e tiram proveito da implementação de métodos que interrompem o processo de infecção em sistemas identificados como máquinas virtuais.
Em amostras de malware TrickBot encontradas no ano passado, o executável incluía código JavaScript que verificou a resolução da tela do sistema em que estava sendo executado.
Recentemente, TheAnalyst – um caçador de ameaças e membro do grupo de pesquisa de segurança Cryptolaemus, descobriu que o anexo HTML de uma campanha de malspam do TrickBot se comportava de maneira diferente em uma máquina real e em uma virtual.
O anexo baixou um arquivo ZIP malicioso em um sistema físico, mas redirecionou para o site da ABC (American Broadcasting Company) em um ambiente virtual.
Se o destino abre o HTML em seu navegador da web, o script malicioso é decodificado e a carga útil é implantada em seu dispositivo.
O e-mail com o anexo era um alerta falso para a compra de seguro, com detalhes adicionados a um anexo HTML.
Abrir o anexo lançou o arquivo HTML no navegador padrão, exibindo uma mensagem pedindo paciência para o documento carregar e fornecendo uma senha para acessá-lo.
Na máquina de um usuário normal, a cadeia de infecção continuaria com o download de um arquivo ZIP que incluía o executável TrickBot, como pode ser visto na imagem abaixo, publicada pelo TheAnalyst:
Baixar malware dessa forma é uma técnica conhecida como contrabando de HTML. Ele permite que um agente de ameaças ignore os filtros de conteúdo de um navegador e coloque arquivos maliciosos em um computador de destino, incluindo JavaScript codificado em um arquivo HTML.
Embora isso pareça ser uma inovação dos operadores do TrickBot, o truque não é novo e já foi visto antes em ataques que atraíram vítimas para sites de phishing.
O pesquisador de segurança MalwareHunterTeam encontrou em março deste ano um kit de phishing que incluía um código para verificar a resolução da tela do sistema.
Desde então, o pesquisador disse que viu a tática sendo usada várias vezes em várias campanhas de phishing como um meio de evitar os investigadores.
O script determina se o usuário que acessa a página de phishing usa uma máquina virtual ou física, verificando se o navegador da web usa um renderizador de software como SwiftShader, LLVMpipe ou VirtualBox, o que normalmente significa um ambiente virtual.
Conforme visto acima, o script também verifica se a profundidade de cor da tela do visitante é menor que 24 bits ou se a altura e largura da tela são menores que 100 pixels.
O TrickBot não está usando o mesmo script que o anterior, mas depende da mesma tática para detectar a caixa de proteção de um pesquisador. No entanto, é uma estreia para a turma usar esse tipo de script em um anexo HTML.
Esta também pode ser a primeira vez que o malware usa um anexo para executar uma verificação de resolução de tela, em vez de fazer isso na página de destino que serve o executável do malware.
Anteriormente, o malware verificava as resoluções de tela não padrão 800×600 e 1024×768, que são indicativas de uma máquina virtual.