Trickbot e Emotet Malware usam notícias de coronavírus para evitar a detecção

Aproveitando-se do atual momento, o Trickbot e Emotet Malware usam notícias de coronavírus para evitar a detecção. Confira os detalhes dessa nova abordagem.

Em janeiro de 2020, foi descoberto que os criptografadores para os Trojans TrickBot e Emotet estavam usando texto de notícias sobre o impeachment do presidente Trump.
 

Trickbot e Emotet Malware usam notícias de coronavírus para evitar a detecção
Trickbot e Emotet Malware usam notícias de coronavírus para evitar a detecção

Nesta semana, o site BleepingComputer descobriu que os criptografadores do TrickBot e Emotet mudaram para notícias sobre a pandemia de Coronavírus.

Trickbot e Emotet Malware usam notícias de coronavírus para evitar a detecção

Os TrickBot e Emotet Trojans começaram a adicionar texto das notícias do Coronavirus para tentar ignorar o software de segurança usando inteligência artificial e aprendizado de máquina para detectar malware.

Antes que o malware seja distribuído em campanhas de phishing ou outros ataques, os desenvolvedores geralmente usam um programa chamado ‘crypter’ para ofuscar ou criptografar o código malicioso.

Isso é feito na esperança de que o malware pareça inofensivo e, portanto, FUD (totalmente indetectável) para o software antivírus. Isso demonstrou ser particularmente útil em relação a softwares de segurança que utilizam aprendizado de máquina ou inteligência artificial para detectar programas maliciosos.

Por exemplo, as amostras do TrickBot vistas pelo BleepingComputer utilizam sequências de caracteres retiradas das notícias da CNN como parte da descrição do arquivo do malware.
Copyright passengers were sent to government quarantine centers
Product The restrictions will ban travel to the US from 26 European countries
Description Singapore has 187 confirmed cases of the virus
Original Name Just because someone who had the coronavirus
Internal Name Just this week, the Grand Princess cruise ship docked
File Version 1.0.0.1

Os passageiros com direitos autorais foram enviados para os centros de quarentena do governo
Produto As restrições proibirão viagens para os EUA de 26 países europeus
Descrição Cingapura tem 187 casos confirmados do vírus
Nome Original Só porque alguém que teve o coronavírus
Nome interno Nesta semana, o navio Grand Princess atracou
Versão do arquivo 1.0.0.1

Também vimos um exemplo de Emotet que usa sequências de caracteres de uma notícia da CNN para obter informações sobre o arquivo.
Copyright different times than the WHO
Product The spike is partly due to a broader definition
Description These numbers are cumulative since Jan. 21 and include people with travel history to China
Original Name n Wednesday, China reported far fewer cases of the novel coronavirus
Internal Name Two California cases and the Texas case are among evacuees from China
File Version 1, 0, 0, 1

Direitos autorais diferentes dos da OMS
Produto O pico se deve em parte a uma definição mais ampla
Descrição Esses números são cumulativos desde 21 de janeiro e incluem pessoas com histórico de viagens para a China
Nome original Na quarta-feira, a China relatou muito menos casos do novo coronavírus
Nome interno Dois casos na Califórnia e o caso do Texas estão entre os evacuados da China
Versão do arquivo 1, 0, 0, 1

Essas informações são mostradas na guia Detalhes das propriedades do malware, quando visualizados pelos usuário.

Não se sabe se o uso dessas sequências tem algum benefício para os atores da ameaça, mas Vitali Kremez, chefe do SentinelLabs, acha que poderia ser útil contra os mecanismos de segurança de IA/ML.

Sobre isso, Kremez disse o seguinte:
 

“Em geral, as sequências de Coronavírus usadas pelo gerador de malware crypter implantam conteúdo público de notícias como uma metodologia para frustrar certas metodologias estáticas de analisador de arquivos estáticos de aprendizado de máquina. Essa técnica de adição de string” goodware “permite que os operadores de criptografia criminosa criem binários criptografados que podem permitir desvios de mecanismos de AI/ML de certos produtos antivírus, como foi provado no método de desvio Cylance.”

O uso do Coronavirus (COVID-19) como parte dos ataques de malware aumentou bastante desde o surto, com a implantação de novos esquemas de phishing, ransomware e malware.

Todos devem ter cuidado com os e-mails que receberem, especialmente aqueles com anexos não solicitados sobre o Coronavírus.

O que está sendo falado no blog

Sobre o Edivaldo Brito

Edivaldo Brito é analista de sistemas, gestor de TI, blogueiro e também um grande fã de sistemas operacionais, banco de dados, software livre, redes, programação, dispositivos móveis e tudo mais que envolve tecnologia.