Amostras Armadas do Malware TinyNuke Aparecem Três Meses após o Vazamento do Seu Código Fonte
A história do Trojan bancário TinyNuke (também conhecido como NukeBot ou Nuclear Bot) está repleta de tantas reviravoltas, reviravoltas, pessoas frustradas e indivíduos com motivos nefastos, que poderiam facilmente servir de complô para um drama de Hollywood. O problema é que é improvável que tenha um final feliz, especialmente para usuários comuns de computador.
Aparentemente, o Trojan foi criado por um adolescente francês chamado Augustin Inzirillo. Em uma entrevista a Brian Krebs, ele disse que o objetivo do projeto era derrotar o Trusteer Rapport da IBM, uma solução de segurança usada por vários bancos em todo o mundo. Ele alegou que não tinha intenção de atacar usuários comuns e disse que depois que desenvolveu o malware, entrou em contato com a IBM. Aparentemente, no entanto, a empresa de tecnologia simplesmente o redirecionou para agentes de suporte técnico que não tinham intenção de ajudá-lo a divulgar o problema de maneira responsável.
Ansioso para mostrar o que sua criação pode fazer, Inzirillo compartilhou algumas amostras com "amigos". Um desses amigos era Gosya, um indivíduo russo, segundo os pesquisadores. Aparentemente, Gosya achou que poderia ganhar dinheiro rápido e fácil com TinyNuke e foi para os fóruns clandestinos com a intenção de vender amostras por US $2.500 por pop.
Felizmente, Gosya não era um fornecedor experiente de malware. Ele não forneceu aos administradores do mercado subterrâneo amostras para que eles possam testá-las e, quando outros atores de ameaças perguntaram sobre a funcionalidade do Trojan, suas respostas foram inadequadas. Eventualmente, a paciência da comunidade black hat acabou e Gosya foi banida.
Os usuários do fórum underground não foram os únicos chateados com Gosya. Augustin Inzirillo ficou bastante zangado com o fato de seu "amigo" estar tentando lucrar com seu trabalho duro também. Por alguma razão, ele decidiu que a melhor maneira de impedir isso é publicar o código fonte no GitHub. Percebendo que isso teria o efeito colateral desagradável de os atores de ameaças terem acesso ao Trojan gratuitamente, ele decidiu excluir o repositório alguns dias depois, mas antes que ele pudesse fazer isso, alguém já havia copiado o código.
Como resultado, agora, cerca de três meses depois, amostras compiladas do TinyNuke estão voando por aí. Os especialistas da Kaspersky analisaram alguns deles e uma das primeiras coisas que apontaram é que, pelo menos por enquanto, as coisas não são tão terríveis. Na maioria das amostras capturadas, o endereço IP do servidor Command and Control (C&C) foi definido como a sub-rede local (127.0.0.1). Sem um C&C em funcionamento, o TinyNuke não funciona.
Isso sugere que a maioria dos atores de ameaças que têm as mãos no código-fonte está apenas testando o malware no momento. No entanto, alguns já o armaram.
Alguns dos chapéus pretos que implantam ativamente o Trojan implementaram algumas técnicas de ofuscação. Nessas versões do TinyNuke, grande parte do código é criptografada e, assim que o malware chega ao computador host, ele entra em contato com o servidor C&C e aguarda uma chave RC4 que descriptografa as seqüências e permite que a infecção continue.. Desnecessário dizer que isso dificulta o trabalho dos pesquisadores, mas, felizmente, os especialistas da Kaspersky escreveram alguns scripts que os ajudaram a ver o que os novos operadores do TinyNuke estão buscando.
O Trojan ainda depende de injeções na Web enviadas pela C&C. No começo, o bot de imitação da Kaspersky recebia apenas injeções de teste, mas depois os servidores começaram a enviar as reais. As amostras de trabalho destinam-se principalmente a clientes de instituições financeiras nos Estados Unidos e na França.
Os pesquisadores notaram, no entanto, que o código havia sido extensivamente modificado em algumas das variantes. Em algumas das amostras, o Trojan não possuía nenhuma funcionalidade de injeção na Web e roubou credenciais de login de navegadores e clientes de email.
Diferentes atores de ameaças têm necessidades diferentes, e as experiências com o código fonte do TinyNuke provavelmente continuarão , especialmente se o malware for tão bom quanto Augustin Inzirillo diz que é. Por enquanto, o número de amostras de trabalho é relativamente pequeno, mas as pessoas não devem esquecer que isso pode crescer rapidamente.