Grinju Downloader

O Grinju Downloader, como o próprio nome sugere, é um tipo de malware para download. Isso significa que sua função na cadeia de ataque é atuar como um dropper de primeiro estágio responsável por entregar a carga real após o computador de destino já ter sido comprometido. Este conta-gotas em particular exibe algumas características únicas quando se trata de medidas de anti-análise e anti-detecção.

Em sua essência, o Grinju Downloader é um malware baseado em macro distribuído por meio de arquivos Excel envenenados. Ao contrário de outras ameaças semelhantes, no entanto, não há código VBA que possa ser analisado, pois todo o código está contido na própria planilha, espalhada por milhares de linhas e numerosas células. Para fazer esse método funcionar, os hackers exploraram uma funcionalidade antiga do Excel - a criação de uma planilha 'macro' onde funções macro poderiam ser adicionadas diretamente às células. Na verdade, quando o usuário abre esse arquivo corrompido, haverá duas folhas presentes nele. O primeiro, que é apresentado ao usuário, é chamado de ' Planilha1 ' e contém vários dados que serão usados pelas funções macro para executar a agenda ameaçadora da ameaça. A segunda folha é a 'macro' e contém todas as funções de macro que devem ser executadas em ordem. É denominado 'ij3Lv.'

Técnicas Exclusivas de Dissimulação e Anti-Análise estão Presentes no Grinju Downloader

Abrir a segunda planilha inicialmente apresentará uma tela de célula em branco, mesmo se estiver totalmente reduzida. Para descobrir onde as funções começam, os usuários terão que rolar para baixo até R3887C240 - linha 3887, coluna 40. Dentre as várias funções, uma quantidade considerável é dedicada a impedir qualquer tentativa de análise dos pesquisadores da infosec. O Grinju Downloader é capaz de identificar a presença de um mouse, determinar se a largura e a altura da janela de trabalho excedem tamanhos específicos, se o sistema é capaz de reproduzir sons e verificar se a macro é executada em um único passo. Todos esses indicadores podem ser sinais potenciais de que o Grinju está sendo executado em um ambiente sandbox.

Em um ponto específico durante sua operação, o Grinju entra em um loop baseado em uma instrução 'If'. Durante cada ciclo, os valores são incrementados em um, e se a condição retornar como 'Verdadeiro',o Grinju passa a formar o próximo grupo de instruções.

Uma técnica particularmente sinistra executada pelo Grinju Downloader é a ameaça de desativar o aviso 'Habilitar Conteúdo'. O primeiro estágio para conseguir isso é a criação de um arquivo de texto com um único caractere - '1', que é colocado na pasta Temp. O significado deste valor se torna evidente ao observar a próxima função. Ele abre o Registro, navega até a seção Avisos de segurança do Excel e grava neles o valor obtido do arquivo de texto. Isso significa que todas as macros a partir de agora serão executadas automaticamente, sem nenhum sinal de aviso exibido para o usuário.

O Grinju Downloader realiza uma verificação no ambiente em que está sendo executado e, se detectar qualquer coisa que não seja o Windows, simplesmente encerra a execução. Ele também determina se o sistema Windows tem uma arquitetura de 32 bits ou 64 bits, resultando em diferentes códigos sendo buscados na planilha do Excel de macro. A etapa final na programação do malware é colocar um script no caminho 'Local\Temp\Nvf.vbs' responsável pelo download e execução da carga do malware de segundo estágio, que é entregue como um arquivo denominado ' ZsQrgSU.html. '

Os hackers por trás do Grinju Downloader demonstram que até mesmo técnicas um tanto antigas podem produzir resultados surpreendentemente eficientes.