Malware Stealer: o ladrão silencioso de informações. Veja como se proteger dessa ameaça!

Por Caique Barqueta: Uma das principais ameaças da atualidade são os malwares do tipo stealer. Em sua tradução, ele é descrito como “ladrão” de informações, que podem ser diversas e enviadas ao atacante/invasor.

Essas informações que são alvo do referido malware trata-se de credenciais utilizadas em serviços bancários online, e-mails, sites institucionais, contas de FTP e outras informações relevantes para o invasor. Tendo em vista o aumento desses ataques utilizando-se este tipo de malware, vamos discorrer acerca do referido assunto.

Como surgiu a ameaça

A primeira ameaça identificada como “Stealer” foi com o lançamento com o nome de ZeuS em 2006. Se tratava de um malware do tipo Trojan avançado que visava coletar informações sobre credenciais de serviços bancários utilizados pela vítima. Após o vazamento do código do ZeuS, muitos derivados começaram a surgir, se popularizando o tipo stealer.

O malware ZeuS possui outras variáveis de nome como Zeus e Zbot, os quais eram executados em sistemas operacionais Windows, com seu principal método de disseminação sendo por meio de downloads drive-by e phishing.

Tendo em vista que no ano de 2009 o referido malware comprometeu mais de 74.000 mil serviços FTP em sites de grandes empresas como bancos e até mesmo a NASA, foi necessário ao FBI realizar uma investigação da atuação. Nela, foi possível identificar que o malware ZeuS infectou computadores em todo o mundo, distribuído por meio de e-mail. Eles se instalaram no computador da vítima, capturando senhas, números de contas e outros dados para se logar em contas bancárias.

Os valores subtraídos pelos atacantes eram depositados em contas de “mulas de dinheiro”, ou seja, pessoas recrutadas pelos atacantes para receber os valores em suas contas bancárias. Diante de toda investigação, o FBI conseguiu criar um esquema da fraude e crimes aplicados pelo ZeuS:

Métodos de infecção e características

Os Stealers são um malware do tipo Trojan e entregues por métodos típicos de Trojans de botnet, como anexos maliciosos enviados por campanhas de spam, sites infectados por kits de exploração e por meio de publicidade maliciosa.

Este método utilizado pelo malware tem sido muito utilizado como forma de garantir acesso inicial à infraestrutura de empresas, uma vez que agora a maioria dos stealers colheram credenciais de serviços como: AWS, SSH, VPN, RDP e Citrix. 

Com o passar dos anos, o malware Stealer foi se incorporando e melhorando algumas de suas funções que podem ser utilizadas atualmente por atacantes como, por exemplo, os listados abaixo:

  • Funções AntiVM, AntiDebugger, Sandbox Control Panel;
  • Coleta de informações de navegadores como: senhas, cartões de créditos, preenchimento automático, tokens, histórico e favoritos.
  • Coleta de informações de e-mails como: Thunderbird, Outlook, FoxMail e outros.
  • Coleta de informações de mensageiros como: Telegram, Discord, WhatsApp, Signal e outros.
  • Coleta de informações de VPN, como: OpenVPN, AzireVPN, NordVPN, EarthVPN entre outros.
  • Coleta de credenciais do tipo: senhas de cofres, senhas de Credman, WINSCP, senhas de rede e outros.
  • Lista de plugins de autenticação de duplo fator (2FA) como: Authenticator, EOS Authenticator e outros.
  • Coleta de informações relacionadas `s máquina do usuário (Fingerprint) como: IP e país, Hora e Local no PC e fuso horário, Idioma do sistema, layouts de teclado de idioma, modelo de processador, notebook ou computador, tamanho da RAM, versão do sistema operacional e identificação do bit, placa de vídeo e computador.
  • Coleta de carteira de criptomoedas (de acordo com o template da wallet.dat).
  • Suporte a navegadores, por exemplo: Chrome, Firefox, Edge, Opera, Chromium, IE e outros.

Famílias de Stealers

Os malwares possuem diferentes características e podem ser oferecidos por meio de produto (nonresident) ou por meio de serviço (Malware-as-a-Service), bem como existem alguns principais Stealers que se encontram em operação atualmente, como o Mars Stealer, Eternity Stealer, Rust Native Grabber, RedLine Stealer e outros, cujas informações podem variar entre $100 e $700 dólares em postagens em fóruns.

Uma das principais famílias de Stealers que vem se destacando é o RedLine Stealer (Ladrão de Linha Vermelha). Ele se apresenta em fóruns para venda do stealer a depender da versão de $100 a $150 dólares. Também existe a possibilidade da contratação por meio de assinatura pagando o valor de $100 dólares/mês.

Este malware coleta informações de navegadores, como credenciais salvas, dados de preenchimento automático e informações de cartão de crédito. É realizado ainda um inventário do sistema durante a execução em uma máquina de destino para incluir detalhes como nome de usuário, dados de localização, configuração de hardware e informações sobre o software de segurança instalado.

Versões mais recentes do RedLine adicionaram a função de roubar criptomoedas, bem como clientes FTP e IM que também são visados por esta família. Por fim, este malware tem a capacidade de fazer upload e download de arquivos, executar comandos e enviar periodicamente informações sobre o computador infectado.

Recentemente, diversas empresas sofreram ataques e identificaram roubo de seu código-fonte. Em agosto deste ano, uma empresa de gerenciador de senhas foi alvo de ataque cibernético, onde houve comprometimento e acesso ao código-fonte por meio de uma conta de desenvolvedor, invadida pelos atacantes e utilizada para acessar o ambiente interno de produção do aplicativo.

Já em abril deste ano, o serviço de monitoramento Mantis, notou o registro mais de 200 mil vítimas infectadas em 193 países pelo malware RedLine. No Brasil, foram identificadas quase 20 mil credenciais roubadas em ataques a usuários de serviço de governo em todos os estados.

Outra família novamente identificada que segue atuando é o Raccoon Stealer. Neste ano, surgiu uma nova versão do malware, com infraestrutura e mais recursos adicionados. Esse malware foi o mais utilizado por grupos de atacantes em campanhas contra visitantes de sites de pornografia, na qual inseriam anúncios maliciosos em todas as redes de publicidades por sites adultos e utilizavam-se de JavaScript para redirecionar os usuários e forçar a instalação de kits com uma série de malwares, entre eles o próprio Raccon Stealer.

Análise do artefato malicioso “Redline Stealer”

Após o exposto acima, a ISH atua ativamente para identificar e realizar o monitoramento de ameaças virtuais.

O artefato malicioso para análise possui as IOCs abaixo:

A amostra foi submetida junto à análise de diversos antivírus, na qual vinte e sete de setenta e um identificaram o artefato como malicioso do tipo Trojan.

Pesquisa ao vírus total

Visando realizar a análise de outras informações relacionadas ao arquivo, é possível identificar que ele foi compilado por meio do VB.NET e utiliza biblioteca .NET, com a data de compilação de 30-11-1981, 17:09:14, o que torna improvável a data de compilação ser do referido ano.

Durante a execução, foi possível identificar que o arquivo malicioso realiza a coleta de informações do sistema como a Versão do Sistema Operacional (OS = Windows_NET), realiza a coleta de USERNAME= e o Drive do sistema que está sendo executado: “SystemDrive=C”.

Consulta aos processos e strings de memória

Outras informações relevantes como USERPROFILE, ALLUSERPROFILE, LOGONSERVER, PROCESSOR_ARCHITEW6432, USERDOMAIN= e COMPUTER NAME também foram identificadas na coleta de informações do sistema. Além das informações supra, coleta também informações relacionadas ao adaptador de rede (Ethernet e Wireless).

Para execução dinâmica, ou seja, do comportamento do sample, ao ser executado, ele foi inicialmente identificado pelo PID 5080 no sistema operacional, sendo que em umas das operações “CreatFile”, ou seja criar arquivo, foi realizada a criação de um arquivo no PATH: C:\Users\<usuárui\AppData\Roaming\Microsoft\Windows\StartMenu\Programs\dekcze.exe e em sequência criou-se novamente outro arquivo executável através do PATH C:\Windows\Microsoft.NET\Framework\v430319\InstallUtil.exe. Após a criação dos arquivos, estes iniciaram-se como processo ao sistema operacional, verificando-se e coletando informações relevantes ao sistema operacional da vítima e dos navegadores, e demais informações.

Em seguida, foi constado que o arquivo questionado realizou a criação de 3 processos no sistema operacional vinculado aos arquivos identificado acima, como:

  • Dekcze.exe (PID 2580)
  • InstallUtil.exe (PID 7076)
  • InstallUtil.exe (PID 1508)

O arquivo denominado “dekcze.exe” possui as IOCs abaixo:

Este arquivo contêm a importação da biblioteca WINHTTP.dll e KERNEL32.dll, havendo funções específicas para realizar Requisição HTTP externas, inclusive identificado por meio de strings a URL: a0715952.xsph.ru realizando a conexão por meio de requisição GET.  

O Stealer executa o utilitário do Windows InstallUtil.exe, o qual permite instalar e desinstalar recursos de servidor executando os componentes de instalador, sendo descrito também as IOCs relacionadas ao arquivo para que se possa ser utilizado para regras Yara.

Este utilitário realiza pesquisas junto ao sistema operacional acerca dos navegadores utilizados, informações do sistema operacional, dados do usuário, carteiras de moedas digitais e demais informações que lograrem êxito em localizar.

Foi verificado que o referido malware possui funcionalidade de roubo de credenciais dos navegadores do tipo: Blackberry, Chrome, Firefox, Gateway, “Generico”, IE, Iemobile, Iphone, Opera, Safari e Ucbrowser, ou seja, auxiliando na identificação do User Agent do usuário.

Além disso, o arquivo malicioso realiza a busca em diretórios atrás de informações relacionadas aos referidos navegadores que se encontravam instalados na máquina virtual (Edge, Chrome e Firefox).

Ele realiza também buscas relacionadas a carteiras de moedas virtuais do tipo Coinomi, Electrum, Ethereum, Exodus, Guarda e Monero, conforme imagem abaixo:

Pesquisa de carteiras virtuais através do utilitário do Windows

Diante disto, uma vez confirmado que o referido artefato se trata de um malware do tipo Stealer, foi possível por meio dos pacotes de rede capturados identificar endereços IP e domínios utilizados pelo artefato como:

  • 141.8.197.42
  • 142.251.129
  • 78.24.216.5:42717
  • 52.226.139.121
  • A0715952.xsph.ru
  • c7cleaner.fvds.ru:42717
  • http://a0715952.xsph.ru/gate.php
  • http://ozaron.beget.tech/api/verify
  • xsph.ru
  • http://a0715952.xsph.ru/api.php?method=getstub&bid=default%20%20%20%20%20%20%20%20%20&tag=@dekcze%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20

(Decodado) http://a0715952.xsph.ru/api.php?method=getstub&bid=default         &tag=@dekcze

Requisição decodada dos dados para determinada URL
  • Requisição realizada para o endereço: c7cleaner.fvds.ru:42717 encaminhando informações capturadas da máquina da vítima:
Exemplo de informações coletadas de navegadores
Envio de informações relacionadas a carteiras de moedas digitais

Os referidos dados são encaminhados para as URLs e endereços IP identificados contendo todos os dados coletados do sistema operacional, havendo a comunicação externa para o atacante que está em posse do servidor C2.

Regra Yara

As regras Yara advém da ferramenta utilizada para identificar e classificar amostras de malware, onde você poderá utilizar as Regras Yara para identificar arquivos em seu sistema operacional, sendo que você poderá ainda personalizar a referida regra.

Com relação ao analisado acima, tendo em vista que foram identificados 3 objetos potencialmente maliciosos que, quando utilizados em conjunto, realizam operações maliciosas, é possível definir uma regra básica de Yara, com busca através dos hashes dos arquivos (SHA1, SHA256 e md5), ficando a regra desta forma:

import “hash”

rule RedlinerStealer

{

                               condition:

                                               (hash.md5(0,filesize)==”178baa3351030e8d58b0d344f0913dbb”) or

                                               (hash.sha1(0,filesize)==”ef02dfd390737a216ec6e3da7c2d24c513bc657c”) or

                                               (hash.sha256(0,filesize)==”c9f3380913938192c344476f3d11b284a3a5f21463a363294db2df3906df0241″) or

                                               (hash.md5(0,filesize)==”0ca548b4236e165dbd0e15e8b98c3745″) or

                                               (hash.sha1(0,filesize)==”2ea400ada1ead194732fae962fcff7c286ee0463″) or

                                               (hash.sha256(0,filesize)==”fecd806144fbd43299bf5eb3e4d9d8951088dcf9ccd3ca55643839fd64c74419″) or

                                               (hash.md5(0,filesize)==”5d4073b2eb6d217c19f2b22f21bf8d57″) or

                                               (hash.sha1(0,filesize)==”f0209900fbf08d004b886a0b3ba33ea2b0bf9da8″) or

                                               (hash.sha256(0,filesize)==”ac1a3f21fcc88f9cee7bf51581eafba24cc76c924f0821deb2afdf1080ddf3d3″)

}

E, ao realizar o download da regra, utilizando a ferramenta Yara será possível utilizá-la para fazer a varredura por exemplo em seu disco local C:\.

Recomendações:

  • Orientar todos os colaboradores e usuários a não clicarem em links recebidos via e-mails, bem como arquivos que estejam anexados e que possam ser baixados.
  • Os e-mails phishing ficaram ao longo dos anos sofisticados, portanto, é necessário que seja verificado duas vezes para garantir que qualquer e-mail seja de uma fonte confiável.
  • Verificar a extensão dos arquivos ou links recebidos, por exemplo a extensão “.exe”, assegurando-se que se estiver em um link, este não irá remetê-lo para um filme ou qualquer outro tipo de arquivo.
  • Evitar o uso de sites de torrent e sites de compartilhamento de arquivos, pois também são um dos meios mais utilizados pelos malwares stealers. Caso seja necessário realizar o download de arquivos de sites de terceiros, tentar fazê-lo em um dispositivo separado em que houver informações de carteiras e outros tipos de credenciais salvas.
  • Utilizar ferramentas de monitoramento de e-mails, rede e demais métodos de entradas e saídas de arquivos e dados da empresa, visando identificar de imediato arquivos potencialmente maliciosos.

Referências:

  1. Heimdall Global Threat Intelligence by ISH
  2. Mitre
  3. Malpedia
  4. VirusTotal
  5. Malware Bazzar