FlowerPippi

Descrição do FlowerPippi

O grupo de criminosos cibernéticos TA505 lançou uma nova campanha em julho de 2019. Essa campanha implantou duas ferramentas corrompidas de "download" nos sistemas em alguns países. O primeiro detectado foi apelidado de FlowerPippi e, ao pesquisar a técnica usada para distribuí-lo, o segundo malware (Gelup) também foi descoberto. Ambos os malwares foram empacotados usando ferramentas semelhantes conhecidas por serem empregadas pelo TA505. O FlowerPippi Malware é um backdoor e um downloader de malware. É mais uma ferramenta autônoma e não foi observado como tendo os recursos mais avançados do Gelup. O nome "FlowerPippi" vem de uma "sequência não utilizada" no malware que lê "pipipipip".

Por Que Você Deve Evitar Ser Infectado pelo Malware FlowerPippi

O FlowerPippi Malware é um downloader baseado em C ++ ou malware "backdoor". Ele obtém acesso a um sistema e é controlado por um servidor de Comando e Controle (C&C). Não possui recursos para "Executar automaticamente" nada; em vez disso, simplesmente baixa a carga útil que será colocada no sistema infectado. O Malware FlowerPippi está sendo distribuído usando emails de spam contendo anexos .doc e .xls. Esses documentos corromperam macros do Visual Basic for Applications (VBA). Quando alguém abre um desses anexos, a macro é executada e tenta infectar o sistema com o Malware FlowerPippi.

Como o Malware FlowerPippi Funciona

O Malware FlowerPippi compromete um sistema coletando e enviando algumas informações sobre o usuário ou conta atual e enviando-o para o servidor C&C. Essas informações são coletadas usando um algoritmo de hash "FNV-1a" para gerar um ID de vítima a partir do endereço MAC do sistema de destino. Quando se conecta ao servidor C&C pela primeira vez, envia as informações coletadas usando uma string codificada em URL, criptografada com o algoritmo de criptografia "RC4".

O servidor C&C envia de volta os comandos principais, que podem incluir:

  • Faça o download e salve um executável em%temp%\.exe, execute-o e exclua-o.
  • Baixe e salve uma DLL em%temp%\.dll, carregue-o na LoadLibrary e exclua-o.
  • Execute um comando arbitrário
  • Excluir-se através de um arquivo bat.

Como Se Proteger do Malware FlowerPippi

O Malware FlowerPippi está sendo distribuído usando uma campanha de spam direcionada a sistemas no Oriente Médio, Japão, Índia, Filipinas e Argentina. Esses e-mails de spam podem ser enviados a você por uma conta que falsifica um contato conhecido e geralmente contém uma mensagem curta como "Faturas e notas fiscais da PFA PARA SUA REFERÊNCIA". O email de spam contém um documento do MS Office chamado "Invoice-5601.doc".

Manter o sistema seguro e limpo é nunca fazer o download ou executar qualquer anexo, a menos que você tenha certeza de onde ele veio. Além disso, verifique novamente os endereços de email do remetente ao baixar um anexo e verifique se o anexo faz sentido no contexto do email. Às vezes, o malware no sistema do remetente pode anexar arquivos aos seus emails sem que eles percebam.

Mantenha backups regulares de seus arquivos importantes. Um sistema infectado tem poucas chances de ser "limpo" completamente e, portanto, pode precisar de uma redefinição, formatação ou restauração do sistema (a partir de um backup) para se livrar do malware. Nesse caso, é essencial ter um backup periódico dos arquivos, pois copiar um arquivo infectado para um sistema limpo provavelmente acabará infectando o novo sistema.