Novo
malware bancário sendo disseminado através de phishing em nome da TGR -
Tesorería General de la República do Chile. O Malware trata-se de
um overlay RAT com direcionamento aos clientes de Bancos do
Chile.
·
Banks of List:
§ Itau
§ Santander
§ BCI
§ BCI
(Empresas)
§ BBVA
§ Banco
de Chile
§ Scotiabank
§ BCP
§ Banco
Internacional
§ Banco
BICE
§ Banco
Estado
§ Interbank
§ Banco
Security
Campaing Overview
Spam/Phishing
A porta de entrada do ataque consiste no envio de um e-mail
malicioso contendo uma URLs para o download de um
arquivo .msi. Esse arquivo tem como função baixar todos arquivos
utilizados para infectar a máquina da vítima como também criar uma persistência
para executar automaticamente na inicialização do sistema operacional.
Técnicas MITRE atualmente observadas:
·
T1192 - Spearphishing Link
Pre-infect
Assim que o arquivo .msi é executado, um
processo do msiexec.exe é iniciado para realizar o download
dos arquivos necessários para infectar a máquina.
Esse arquivo trata-se de um .zip que estava
hospedado no site da prefeitura do município de Suzano do estado de São Paulo.
suzano.sp.gov.br
Técnicas MITRE atualmente
observadas:
·
T1218 - Signed Binary Proxy Execution
Pos-infect
Na finalização do processo do arquivo .msi, o mesmo
extrai os arquivos do .zip e altera o nome e extensão de cada
um deles. Identificamos que trata-se de três arquivos, sendo um deles o exe do AutoIt,
outro um script (.a3x) para o autoit e o último uma dll maliciosa
onde encontra-se todos os overlay utilizados para enganar a vítima.
Os arquivos do malware ficam em uma pasta nomeada randomicamente
dentro do diretório: %APPDATA%\Roaming
Persistence
Para manter a persistência no sistema operacional, o malware
cria um .lnk na pasta Startup (%APPDATA%\Roaming\Microsoft\Windows\Start
Menu\Programs\Startup\8Nm3yJpC.lnk) para que o malware seja executado sempre
que houver uma inicialização do sistema.
Esse atalho possui um comando para executar o .exe do
AutoIt seguido como parâmetro do script e a dll.
LNK target:
%APPDATA%\Roaming\qFFZtzou9GL57DB0J60NE200NG9AI14CDIC1H9\XNS5543D.exe %APPDATA%\Roaming\\qFFZtzou9GL57DB0J60NE200NG9AI14CDIC1H9\FAwF2iJG %APPDATA%\Roaming\\qFFZtzou9GL57DB0J60NE200NG9AI14CDIC1H9\fSXFQdPP.dll
O executável do AutoIt, daqui por diante, será utilizado para
capturar os dados da vítima e encaminha-los para o fraudador.
Técnicas MITRE atualmente observadas:
·
T1060 - Registry Run Keys / Startup Folder
MITRE ATT&CK Techniques
A
tabela abaixo contém MITRE Attack techniques, clicando no número da técnica é
feito um redirecionamento para o site do Mitre e clicando no nome da técnica é
feito um redirecionamento para o site Atomic Red Team.
Tactics
|
Techniques
|
Command-And-Control
|
|
Persistence
|
|
Initial-Access
|
|
Defense-Evasion
|
|
Execution
|
|
Collection
|
IOCs
URLs
hXXp://www.suzano.sp[.]gov.br/refis/download/tf40a.tcb (Download pos-infect)
hXXps://www.filesdocuments[.]com/hooponopono1/brume.php (Victims counter)
hXXps://www.filesdocuments[.]com/hooponopono1/puta.log (Victims counter log)
C2
23.108.57.34
Files
Filename: aviso-cl.msi
MD5: 9b395c04faede8689cd816b5bc5d2063
SHA1: d2e40021112950e37e8d665034e0ac870d036b84
SHA256: 639abaee2952de65869a565af697d1c424b178d159f96cfb22f1e5f38d2f1d5d
Filename: FAwF2iJG
MD5: ee97b54e9b768766abe887c611a8bd93
SHA1: f61a155665b745683a34c5b73c33e25782edd00b
SHA256: f0cc5a98ce0bf78852364aecc44b2dd42a2d2354fa92faed0c6a0eb0f60cc2a7
Filename: fSXFQdPP.dll
MD5: 8e57916ce8a6706b6ee0e441c6af0396
SHA1: ea1f63e526ba857e56ae04f3f8904bfa6f9952bb
SHA256: c1f9e2ba50770bb2848f50a56896fe793086014ba1a8698526058500246b66ab
Filename: XNS5543D.exe
MD5: b06e67f9767e5023892d9698703ad098
SHA1: acc07666f4c1d4461d3e1c263cf6a194a8dd1544
SHA256: 8498900e57a490404e7ec4d8159bee29aed5852ae88bd484141780eaadb727bb
Filename: tf40a.tcb
MD5: eec9ea31231d1e1830f7632be3dd0488
SHA1: 8dbfc08629c2db89a64d7ce0aa09c72b55d34c63
SHA256: 9cb4f11d3ec3797fa885f33875f0a67b7d47d82cb3e2bfb3d3935b451e01c2e8
Filename: tf40b.tcb
MD5: 79246f37ff46eb60d8fb46bafa68145f
SHA1: f2ae6adf24b7fcc0e3827479b4ac4aaf97416083
SHA256: 03c21a38e5ff3f0b27f95948dfcd00527d8671285d5ac0659815aa34391967c9