Gelup
O conhecido grupo de criminosos cibernéticos TA505 realizou outro ataque em julho de 2019. Desta vez, foi observado o uso de duas ferramentas de download. Ao analisar o primeiro (FlowerPippi), os pesquisadores descobriram outro malware de download sendo distribuído usando a mesma campanha de spam. Esse malware é chamado Gelup e está ameaçando principalmente por causa de seus recursos de prevenção de detecção.
Índice
Por Que o Malware Gelup é Ameaçador
O Gelup Malware está escrito em C ++ e é um malware para download. Depois de obter acesso a um sistema, também pode ser solicitado que você baixe outros arquivos, execute-os usando dois métodos diferentes, carregue bibliotecas a partir deles e desinstale-os. O Malware Gelup está sendo distribuído usando emails de spam contendo anexos .doc e .xls. Esses documentos corromperam macros do Visual Basic for Applications (VBA). Quando alguém abre um desses anexos, a macro é executada e tenta infectar o sistema com o Malware Gelup.
Como o Malware Gelup Funciona
O Gelup Malware infecta um sistema usando um método complicado para obter acesso ao sistema, evitando a detecção e ignorando o UAC (User Access Control). Ele atinge o desvio do UAC falsificando diretórios confiáveis do Windows, abusando de executáveis elevados e usando técnicas de carregamento lateral de DLL. O Malware Gelup usa uma técnica comum chamada "análise anti-estática" para resolver as APIs (interfaces de programação de aplicativos) do Windows, que fornecem o acesso necessário para realizar seu ataque. Na primeira parte, ele usa um hash antes de chamar a API. A segunda parte dessa técnica se baseia em seqüências de caracteres no malware que são descriptografadas em tempo de execução.
Ele também usa "análise anti-dinâmica", que é feita procurando ferramentas de análise e verificando se está sendo executado em um ambiente normal, ambiente de depuração ou emulador ou sandbox. O Gelup Malware usa um conjunto complicado de etapas para se instalar no sistema. Primeiro, ele testará se é a primeira infecção no sistema, verificando se "% AppData%\MSOCache" já foi criado. Em seguida, verifica se o usuário ou conta atual é uma conta de convidado. Nesse caso, o malware cria um novo arquivo chamado "% AllUsersProfile%\{RANDOM}.exe", que contém uma cópia de si mesmo. Ele também se define na chave "Executar" do registro. Se o usuário ou conta atual tiver privilégios regulares, ele passará para ignorar o UAC. Depois que o Gelup Malware tiver as permissões e o acesso necessários, ele poderá começar a se comunicar com o servidor C&C e baixar outros malwares.
Como se Proteger do Malware Gelup
O Gelup Malware está sendo distribuído usando uma campanha de spam direcionada a sistemas no Oriente Médio, Japão, Índia, Filipinas e Argentina. Esses e-mails de spam podem ser enviados a você por uma conta que falsifica um contato conhecido e geralmente contém uma mensagem curta como "Faturas e notas fiscais da PFA PARA SUA REFERÊNCIA". O email de spam contém um documento do MS Office chamado "Invoice-5601.doc".
Para manter seu sistema seguro e limpo, nunca baixe ou execute nenhum anexo, a menos que esteja absolutamente certo de onde ele veio. Além disso, verifique novamente os endereços de email do remetente ao baixar um anexo e verifique se o anexo faz sentido no contexto do email. Às vezes, o malware no sistema do remetente pode anexar arquivos aos seus emails sem que eles percebam.
Você sempre deve manter backups regulares de todos os seus dados. Apesar de seus esforços, sempre existe o risco de scripts corrompidos serem executados no sistema e comprometê-lo. Mantendo backups regulares, você tem a opção de restaurar o sistema para um ponto limpo, em vez de formatar o disco e iniciar completamente novo.
