Depois de revelar os seus
segredos no mês passado num relatório de exposição da Microsoft, os operadores
do malware sLoad colocaram em circulação uma versão 2.0 renovada no início
deste mês.
Esta nova versão do sLoad (também
conhecida como Starslord) não muda muito, mas o fato de a turma do sLoad ter
lançado uma nova versão em menos de um mês após a exposição das operações mostra
a velocidade com que os autores de malware costumam operar.
A operação de malware sload
O malware sLoad não é algo novo.
É uma variedade de malware que existe há anos .
O malware é o que alguém chamaria
de "downloader de malware" ou "conta-gotas de malware".
O principal objetivo do sLoad é infetar
PCs com Windows, coletar informações sobre o sistema infetado e enviar essas
informações para um servidor de comando e controle (C&C), aguardar
instruções para baixar e instalar uma segunda carga útil de malware.
O malware existe para servir como
um sistema de entrega de tipos de malware mais potentes e para ajudar a gangue
sLoad a ganhar dinheiro, fornecendo espaço de pagamento por instalação para
outras operações de cibercriminosos (por exemplo, como a gangue de cavalos de
Troia bancários de Ramnit).
Os downloaders de malware como o
sLoad são uma moeda de dez centavos. No entanto, de acordo com a Microsoft, o
sLoad foi um dos poucos downloaders de malware que se destacou devido a um
nível desnecessário de sofisticação e ao uso de técnicas não padrão.
Necessidade de mudar o modus operandi
O relatório da Microsoft do mês
passado expôs os recursos do sLoad e aumentou a conscientização entre os
fornecedores de segurança cibernética sobre o modus operandi do malware.
Exposições como essas são
perigosas para grupos de malware, pois podem significar que suas cargas
maliciosas são detetadas com mais frequência. Na maioria dos casos, a maioria dos
gangues de malware atualiza ou reformula as operações, esperando ficar um passo
à frente dos fornecedores de segurança cibernética.
A gangue sLoad fez exatamente
isso. Em poucas semanas, eles reformularam o seu código e mudaram tudo,
lançando um novo sLoad v2.0 a partir deste ano.
No entanto, se a gangue sLoad
esperava ficar um passo à frente da Microsoft, eles não tiveram sucesso, pois a
empresa publicou outra exposição hoje detalhando a nova v2.0 em uma
profundidade semelhante à v1.0 no mês passado.
De acordo com Sujit Magar,
analista de malware que faz parte da equipe de pesquisa do Microsoft Defender
ATP, o sLoad 2.0 permaneceu basicamente o mesmo, ainda usando o BITS
exclusivamente para todas as operações de rede, confiando nos scripts do
PowerShell para execução sem arquivo e ainda trabalhando como um downloader de
malware para outros grupos criminosos.
As únicas coisas que mudaram
foram o uso de scripts WSF em vez de scripts VB durante o processo de infeção,
a adição de verificações para detetar se os analistas de malware estão
observando o código e a implantação de um novo sistema que rastreia os estágios
de uma infeção sLoad .
Imagem: Microsoft
Dessas três novas adições, a
última é a mais nova, não vista em outras linhagens de malware. Esse novo
mecanismo funciona adicionando um pequeno valor numérico no final de um
trabalho do BITS que se comunica com o servidor C&C.
O valor numérico informa à equipe
sLoad o estágio de uma infeção sLoad. O objetivo desse recurso pode variar. O
Magar acredita que isso poderia ser usado para organizar hosts sLoad em
subgrupos e depois enviar comandos para hosts específicos infetados por sLoad.
Outro objetivo poderia ser que
esse recurso fosse adicionado para fins de depuração, caso a nova versão do
sLoad travasse ou parasse em um estágio específico, permitindo que a equipe do
sLoad envie comandos para as infeções travadas do sLoad e repare erros.
De qualquer forma, a Microsoft
parece estar no topo das recentes atualizações do sLoad, e seu último relatório
técnico deve ajudar outros fornecedores a acompanhar a deteção dessa nova
versão também.
Homepage:
https://www.zdnet.com/article/microsoft-discovers-new-sload-2-0-starslord-malware/
Comentários
Enviar um comentário