30 de dezembro de 2020

A recém-descoberta família de malware baseado em Python tem como alvo o Outlook e as credenciais do navegador de usuários do Microsoft Windows.

Novo malware rouba credenciais de usuários de Windows e arquivos do Outlook

Pesquisadores descobriram um novo trojan (cavalo de Tróia) cujo objetivo é o furto de informações. O malware tem como alvo os sistemas Microsoft Windows e se utiliza de um ataque para extração de dados, que vão desde credenciais do navegador até arquivos do Outlook.

O trojan, chamado PyMicropsia (devido a ter sido construído via Python), foi desenvolvido pelo grupo de ameaças AridViper, conhecido por ter como alvo organizações no Oriente Médio.

“AridViper é um grupo de ameaças ativo que continua desenvolvendo novas ferramentas como parte de seu arsenal”, declararam os pesquisadores em uma análise divulgada no dia 13 de dezembro. “Além disso, com base em diferentes aspectos do PyMicropsia analisados por nós, várias seções do malware ainda não são usadas, indicando que se trata, provavelmente, de uma família de malware em desenvolvimento ativo.”

Os recursos do trojan para roubo de informações incluem upload de arquivos, download/execução de carga útil, roubo de credencial do navegador (e a capacidade de limpar histórico e perfis de navegação), captura de tela e keylogging.

Além disso, o malware pode coletar informações de listagem de arquivos, excluir arquivos, reinicializar máquinas, coletar informações da unidade USB e gravar áudio – bem como coletar arquivos .OST do Outlook e eliminar/desativar processos do Outlook.

Um arquivo OST, também conhecido como Offline Outlook Data File (Arquivo de Dados Offline do Outlook), é usado por contas da Microsoft, contas do Exchange e contas do Outlook.com “para armazenar uma cópia sincronizada das informações da sua caixa de de e-mail no computador local”, de acordo com a Microsoft. Os arquivos OST podem conter mensagens de e-mail, contatos, tarefas, dados de calendário e outras informações relevantes – e pessoais – de um usuário.

Como o trojan funciona

O trojan foi transformado em um executável do Windows pelo PyInstaller, um pacote Python que permite aplicativos em executáveis autônomos. Depois de baixado, o malware “implementa sua funcionalidade principal executando um loop, onde inicializa diferentes threads e chama várias tarefas periodicamente com a intenção de coletar informações e interagir com o operador C2”, explicam os pesquisadores.

O agente de ameaça usa bibliotecas Python integradas e pacotes específicos para fins de roubo de informações – incluindo PyAudio (habilitando recursos de roubo de áudio) e mss (permitindo recursos de captura de tela) -, bem como outros “diversos fins, como interação com processos do Windows, registro do Windows, rede, sistema de arquivos e assim por diante”.

O PyMicropsia tem relações com a família de malware Micropsia, outro malware AridViper conhecido por ter como alvo o Microsoft Windows. Esses links incluem sobreposições de código; táticas, técnicas e procedimentos semelhantes (TTPs), como o uso de rar.exe para compactar dados para exfiltração; e estruturas de caminho de URI de comunicação de comando e controle (C2) semelhantes.

Micropsia também fez referências a temas específicos em código e implementações C2 – incluindo referências anteriores a programas de TV como The Big Bang Theory e Game of Thrones. Digno de nota, nas variáveis de código do PyMicropsia, os pesquisadores encontraram referências a vários nomes de atores famosos, os atores Fran Drescher e Keanu Reeves, o que “parece estar de acordo com o modus operandi do grupo suspeito", disseram os pesquisadores.

Leia também:

AridViper: Desenvolvimento Ativo

Investigando as capacidades do PyMicropsia, os pesquisadores disseram que também identificaram duas amostras adicionais hospedadas na infraestrutura do trojan.

Esses elementos adicionais, que são baixados e usados ​​pelo trojan durante sua implantação, fornecem recursos de persistência e keylogging. Eles não são baseados em Python / PyInstaller.

Embora o PyMicropsia seja projetado para ter como alvo apenas os sistemas operacionais Windows, os pesquisadores também encontraram trechos no código que verificam a existência de outros sistemas operacionais (como “posix” ou “darwin”). Posix, ou Portable Operating System Interface, é uma família de padrões usados ​​para manter a compatibilidade entre os sistemas operacionais; e Darwin, um sistema operacional de código aberto semelhante ao Unix.

“Esta é uma descoberta interessante, já que não vimos o AridViper mirar nesses sistemas operacionais antes e isso pode representar uma nova área que o grupo está começando a explorar”, alertam os pesquisadores.

Mantenha seus dispositivos protegidos. Consulte a assessoria de especialistas da Compugraf e saiba como podemos te ajudar!

Compugraf

Especialista em segurança de dados e certificada por parceiros reconhecidos mundialmente, a Compugraf está pronta para proteger sua empresa na era digital.

O que procura?