Brushaloader
O Brushaloader é um malware dropper, um programa ameaçador projetado para instalar um Trojan ou outro malware no computador da vítima. Os pesquisadores de segurança do PC vêm estudando o Brushaloader desde junho de 2018. O Brushaloader possui vários recursos avançados que permitem evitar a detecção. Alguns desses recursos incluem a capacidade de ofuscar URLs, suportar HTTPS e técnicas que permitem que o Brushaloader evite ambientes de depuração, de simulação e virtuais. O Brushaloader ataca as plataformas de hospedagem de arquivos que geralmente são consideradas seguras, tornando o Brushaloader mais ameaçador do que o típico utilitário de download de um Trojan.
Índice
Arquivos PDF Corrompidos e Arquivos RAR Instalam o Brushaloader nos PCs Vulneráveis
Os ataques do Brushaloader parecem ter como alvo os usuários de computador da Polônia e falantes de polonês. A distribuição inicial do Trojan Brushaloader teve como alvo a Polônia. No entanto, devido ao alto nível do ataque e à maneira como o Brushaloader pode escapar da detecção e da remoção, é provável que os ataques do Brushaloader se expandam para alvos adicionais além desse país específico. As vítimas serão infectadas com o Brushaloader principalmente através de arquivos PDF corrompidos e arquivos RAR, que normalmente serão entregues usando alguma técnica de engenharia social para enganar os usuários de computador e convence-los a abri-los. Depois de entregues, eles usarão um script danificado do Visual Basic que se conecta a um servidor de Comando e Controle e baixa e instala malware no computador da vítima. O Brushaloader usa um endereço de IP que é codificado no próprio Brushaloader na maioria dos casos. O Brushaloader executa uma versão invisível do navegador da vítima para se conectar aos seus servidores de Comando e Controle e baixar o malware. O Brushaloader também transmitirá informações sobre o computador infectado para o seu servidor de Comando e Controle. O Brushaloader relatará muitos aspectos do computador infectado ao seu controlador, que pode incluir o seguinte:
Memoria disponivel.
Modelo de CPU.
Nome de usuário atualmente ativo.
Exibir modelo de adaptador.
Endereço de IP.
Produto AV instalado.
Versão do PowerShell.
Data de instalação do sistema.
Modelo do sistema e fabricante.
Versão do Windows.
Como o Brushaloader Infecta um Computador
O Brushaloader executa comandos usando um arquivo executável manipulado, embora versões mais recentes do Brushaloader usem o Windows PowerShell para realizar o ataque e deixar menos traços no dispositivo infectado. Os pesquisadores de malware notaram outros progressos no código do Brushaloader desde que começaram a estudá-lo, incluindo o fato de que o tamanho do arquivo do Brushaloader encolheu, de 4 KB para 1 KB desde que foi lançado pela primeira vez. Os ataques Brushaloader são distribuídos através de inúmeros URLs. Muitos desses URLs podem ser domínios legítimos que foram comprometidos por criminosos e seqüestrados para distribuir malware. Alguns desses bURLs são hospedados em serviços de hospedagem de arquivos legítimos, tais como o Dropbox. A seguir estão alguns dos muitos URLs que foram ligados a diferentes instâncias do ataque do Brushaloader:
h[tt]ps://cytotan[.]website/
h[tt]ps://deniselevenick[.]com/
h[tt]ps://honeycibilisim[.]com
h[tt]ps://jewelrybestdesign[.]com/
h[tt]ps://nengchima[.]com
h[tt]ps://pingservhost[.]info/chkesosod/downs/RxZEaaQhl
h[tt]ps://tcpsoptoms[.]info/chkesosod/downs/tsxzKAg
h[tt]ps://www.dropbox[.]com/s/phnsu10yfv6qsmc/pbf.dll?dl=1
h[tt]ps://www.dropbox[.]com/s/u7v9dfss15l1qaq/Track_number.js?dl=1
h[tt]ps://zenvoyadmin[.]com
A principal maneira pela qual o ataque do Brushaloader começa normalmente é com uma mensagem de e-mail questionável contendo uma suposta voz ou fatura na forma de um arquivo PDF ou RAR. Esse é o aspecto da engenharia social do Brushaloader, que atualmente tem como alvo usuários de computador em regiões de língua polonesa.
Protegendo o Seu Computador contra Ameaças como o Brushaloader
A melhor maneira de evitar os ataques do Brushaloader é estar ciente das táticas comuns de engenharia social, particularmente aquelas que são distribuídas via e-mail e responder a elas apropriadamente. É imperativo que os usuários de computador tenham cautela ao lidar com mensagens de e-mail não solicitadas que contenham links incorporados ou arquivos anexados, particularmente. Os usuários de computador devem ter um programa de segurança confiável, totalmente atualizado e capaz de remover e interceptar esses ataques para evitar que o Brushaloader e outras ameaças semelhantes sejam instaladas nos seus computadores.
