Alerta: Novo malware se espalha agressivamente pela internet

A internet recebeu mais um convidado indesejado e provavelmente vai fazer muito mais que simples barulho. Estamos falando de um malware que usa o código do conhecido BARTALEX. Já é possível identificar uma elevação muito acentuada de e-mails contendo-o, principalmente para usuários do Office 365.

O BARTALEX explora os recursos de macros e já é conhecido desde abril de 2015. Inicialmente era disseminado por SPAMs usando URLs que exibiam uma página pedindo para o usuário habilitar macros em um documento Microsoft Word. Se esta atividade fosse feita, um download do malwareTSPY_DYRE.YUYCC era feito para monitoramento de atividades bancárias.

O novo malware deposita o BARTALEX no campo de formulário de um arquivo do tipo “dotm” para evadir a detecção de macros. O mesmo apresenta alto grau deobfuscação (técnica usada para evitar que seu código seja visto e seu funcionamento entendido), além de utilizar codificação RC4 para proteger e dificultar sua detecção. O código do BARTALEX foi modificado para fazer o download do Ransomware Cerber. Indicações da Check Point (equipe Threatcloud Incident Response) apontam que o CERBER está sendo distribuído via Botnet Dridex.

Importante destacar que até hoje de manhã, nenhuma das principais engines de antivírus do mercado conseguiam detectar este malware.

Acredito que este não será o primeiro, nem o último ataque deste tipo. Se analisarmos os ataques via macro, veremos que existe um crescimento com o passar dos anos. Possivelmente encontraremos muitos Ransomware como o RANSOM_LOCKY.A ou como o CERBER e ainda diversos outros meios destrutivos usando macros.

O dia 23 de junho de 2016 pode ser uma data importante para as empresas em todo o mundo. Devemos observar de perto a evolução para o ciclo de contaminação do BARTALEX e do CERBER. Aliado a isto devemos evitar que funcionários ativem macros para documentos não assinados por suas empresas e fazer uso de mecanismos que monitorem o tráfego Web ou o fluxo de Correio Eletrônico para identificar comportamentos comuns nos ataques de ransomware.

Entre em contato agora com o UOLDIVEO e entenda como podemos ajudar sua empresa a solucionar este e outros problemas de segurança.

http://uoldiveo.com.br/contato/
comercial@uoldiveo.com

 

Denis Souza

 

Referências:

  • Check Point Threatcloud Incident Response (Time de Resposta à Incidentes), Check Point ThreatCloud e Threat Intelligence (Nuvem Colaborativa de Segurança).
  • Trend Micro Blog.

Denis Souza

Denis Augusto Araújo de Souza é analista de produtos MSS do UOL DIVEO, e autor da série de livros Tempestade Hacker, publicada pela Amazon.com.br.