Pesquisadores da provedora de soluções anti-malware G Data Software analisaram uma ferramenta de administração remota (RAT), que é capaz de usar webmail popular e outros tipos de serviços para o comando e controle (C & C) comunicações. A ameaça, apelidado de Win32.Trojan.IcoScript.A pela empresa, tem sido em torno desde 2012, mas conseguiu manter-se despercebido até recentemente.
A amostra IcoScript que foram analisados pela empresa de segurança teria usado o Yahoo Mail para C & C de comunicação, mas especialistas acreditam que poderia ter contado com o Gmail com a mesma facilidade. Além disso, uma vez que o RAT é modular, não seria difícil para os criadores de malware para se adaptar a sua criação para plataformas de mídia social como o LinkedIn e Facebook, Rascagnères explicou.
As obras do malware por abusar de uma tecnologia chamada Component Object Model (COM), que permite a comunicação entre processos e criação de objeto dinâmico. COM pode ser usado para controlar o Internet Explorer, e os desenvolvedores do malware teria desenhado o RAT para que ele tira o máximo proveito desse recurso.
Por exemplo, eles podem esconder o tráfego malicioso, pois a comunicação HTTP é feito pelo processo iexplorer.exe, e não o próprio malware. Além disso, desde que a sessão está escondido, é improvável que a vítima vai notar a comunicação adicional por parte do browser.
Outra vantagem de usar COM é o fato de que faz análise através de engenharia reversa mais difícil, pois não há evidências claras de comportamento de rede malicioso. Finalmente, se a infra-estrutura da entidade alvo usa um proxy, o malware pode alavancar o token armazenado na sessão do usuário, disse o pesquisador.
De acordo com Rascagnères, o malware controla o browser através de um script codificado armazenado em um arquivo separado, que funciona como um arquivo de configuração. Para evitar levantar suspeitas, este arquivo é anexado a um ícone legítimo (. Ico) que tem o Adobe Reader como logotipo. Este é o aspecto que inspirou pesquisadores para nomear o IcoScript.
Curiosamente, os desenvolvedores do rat ter criado o script que é usado para controlar o browser com a sua própria linguagem de script. Vários comandos são usados para comandar o Internet Explorer para ir a um site específico, elementos de controle em uma página da Web, digite as credenciais para acessar uma conta de e-mail, pressione os botões, marque / desmarque caixas de seleção, executar arquivos, exfiltrar dados e muito mais.
As atividades maliciosas poderia passar despercebido, porque os atacantes podem usar centenas de contas de e-mail legítimos de aparência. Além disso, as empresas não pode barrar o tráfego associado com serviços de webmail, Rascagnères apontou.
Alguns sistemas de detecção de intrusão (IDS) pode não ser eficiente também. As caixas de entrada utilizados pelos e-mails da loja IcoScript contendo várias instruções. São inseridos Estas instruções entre strings como "<<<<<<" e ">>>>>>" e "+ + + + + + +" e "# # # # # #". No entanto, porque o tráfego do Yahoo Mail é comprimido com gzip e é apenas descompactado no navegador, o IDS pode detectar apenas as cordas se ele pode-se descomprimir os dados em tempo real. Outro problema seria a de que as técnicas de obscurecimento HTML também podem ser utilizados para disfarçar os cordões, o especialista explicou.
"Para as equipes de resposta a incidentes, a contenção é normalmente restrita a bloquear a URL do proxy. Neste caso, a URL não pode ser facilmente bloqueado e um monte de pedidos legítimos não devem ser bloqueadas. Além disso, o atacante pode configurar cada amostra a utilizar vários sites legítimos, como as redes sociais, sites de webmail, serviços de nuvem e assim por diante ", disse Rascagnères no trabalho de pesquisa. "A contenção deve ser realizada no fluxo de rede em tempo real. Esta abordagem é mais difícil de perceber e de manter. Ele demonstra tanto que os atacantes saber como as equipes de resposta a incidentes trabalhar, e que eles podem se adaptar a sua comunicação para tornar a detecção e contenção tanto complicado e caro. "
Fonte: SecurityWeek.