Computer Security Analisando a Infra-Estrutura de Comando e Controle do...

Analisando a Infra-Estrutura de Comando e Controle do Malware Ladrão de Dados CollectorGoomba

roubar dados em pcs A ascensão do spyware como um serviço está permitindo que os criminosos se especializem, seja no aprimoramento de spyware, na maximização de lucros com informações roubadas ou no trabalho de infectar novas vítimas. O modelo de negócios de spyware como um serviço significa ter um indivíduo ou uma equipe inteira desenvolvendo spyware e organizando a infraestrutura em que o malware é executado. A equipe de desenvolvimento pode então vender o software para os criminosos com menos habilidades tecnológicas e que o utilizam para promover seus objetivos.

As defesas de rede são frequentemente implantadas pelas organizações para impedir a comunicação de spyware, incluindo o registro da rede e os sistemas de prevenção de intrusões (IPS). A evolução do malware permite que novas ameaças tornem partes dessas defesas menos úteis. Os pesquisadores de segurança podem desmembrar novos malwares configurando-os em máquinas virtuais ou máquinas onde eles podem ser analisados com um software.

Texto do autor do CollectorGoomba
Texto do Autor do CollectorGoomba Explicando os Benefícios do "Produto"

O autor do CollectorGoomba descreve os benefícios do produto e a capacidade de roubar informações e as alterações do spyware para evitar defesas. O autor também parece afirmar que escreveu o spyware como um serviço que está oferecendo.

Os Dados Roubados

Durante a execução do malware CollectorGoomba, ele rouba informações confidenciais do dispositivo infectado. O spyware lê dados confidenciais no navegador da Web dos usuários afetados, incluindo suas informações pessoais, cookies e detalhes de login salvos no recurso de preenchimento automático. O malware tem como alvo os arquivos de dados do Firefox, Google Chrome e Internet Explorer. Outros aplicativos que têm os seus dados de autenticação visados pelo CollectorGoomba incluem Authy, NordVPN, FileZilla, Steam, Discord e Pidgin.

A amostra faz uma captura de tela da área de trabalho da vítima e adiciona os dados roubados a um arquivo zip. O roubo de credenciais de login significa que os invasores podem efetuar login no lugar do usuário infectado. Eles podem promover seus objetivos se infiltrando na rede de uma organização. A perda de informações pessoais pode devastar um usuário ou uma organização. Tais questões podem levar à extorsão, fraude bancária, roubo de identidade, chantagem e muito mais. Como parte do spyware como um serviço, os criminosos podem trocar as informações roubadas com outros criminosos especializados em explorá-las.

Senha de Segurança

O preenchimento automático do navegador da Web pode ser muito conveniente para os usuários, mas também é perigoso de usar, pois as credenciais de login podem ser salvas em texto não criptografado. Os gerenciadores de senhas podem ser instalados com a mesma funcionalidade em mente, mas oferecem criptografia de informações por meio de uma senha mestra. Se os invasores conseguirem roubar os arquivos que contêm os dados de login, eles serão criptografados e inutilizáveis.

Análise do Tráfego de Rede

O CollectorGoomba usa redes de alto nível para recuperar um arquivo que contém o nome de domínio do servidor de coleta. Depois que o domínio de destino adquire o spyware, ele tenta carregar os dados roubados no servidor de coleta. O exemplo usa funções de API no Wininet.dll, uma biblioteca do Windows destinada à comunicação de rede de alto nível. As funções são fáceis de usar e simplificam a programação do spyware para os desenvolvedores. O tráfego de rede gerado pelo spyware usa a função InternetReadFile (), que lê um arquivo de texto em um repositório GitHub hospedado publicamente.

O tráfego gerado aparece na captura de pacotes como uma consulta DNS para um domínio legítimo do GitHub chamado raw.githubusercontent.com, usado para o download direto de arquivos. Depois que o endereço IP é recebido, o dispositivo infectado baixa o arquivo nyun.txt desse domínio. Ele contém os detalhes do domínio do spyware em que a amostra é instruída a carregar os dados roubados.

O programa verifica uma resposta válida e confirma que a função InternetReadFile () não retornou um zero. Em seguida, verifica se o número de bytes retornados também não era zero. Se qualquer uma das condições for atendida, a amostra presumirá que não conseguiu recuperar o arquivo nyun.txt e usa um domínio codificado para a exfiltração de dados.

Quando o spyware adquire o domínio visado, ele exfiltra o arquivo zip com os dados roubados. O código chama as funções de rede de alto nível HttpSendRequest() e InternetWriteFile() para enviar HTTP POST para o u667503srd[.]ha004[.]t[.]justns[.]ru/collect[.]php. No servidor spyware C2, o collect.pho está aguardando as conexões de entrada do malware. Os desenvolvedores da plataforma desse spyware como serviço dizem que os clientes atacantes podem se conectar ao servidor e acessar os dados roubados. Depois que os dados são filtrados, o spyware exclui todos os arquivos temporários criados, liberando a memória e finalizando sua execução.

Derrubando o Servidor de Comando e Controle

Os pesquisadores do VMRay Labs enviaram suas análises sobre o tráfego C2 de volta ao GitHub e puderam trabalhar juntos para remover o repositório malicioso. Os invasores não usam mais esse arquivo para enviar dados roubados pelo malware para o servidor de exfiltração de dados. O spyware tenta obter o arquivo do GitHub, mas recebe uma mensagem de erro. Qualquer malware, dependendo desse repositório, agora deve falhar no upload dos dados roubados. Os atores de ameaças por trás do CollectorGoomba seguiram em frente e atualizaram seu código para confiar nos arquivos de texto hospedados no upaste.me. Instâncias do CollectorGoomba compiladas antes dessa atualização devem falhar no upload dos dados roubados.

Analisando a Infra-Estrutura de Comando e Controle do Malware Ladrão de Dados CollectorGoomba capturas de tela

collectorgoomba
Carregando...