LOLSnif

Quando o código-fonte de um malware é liberado, ele permite que todos os tipos de hackers, desde aqueles que possuem menos habilidades técnicas até os altamente proficientes, apenas o tomem e reaproveitem para as suas necessidades específicas. Este é precisamente o caso do LOLSnif, um malware baseado no Trojan bancário Ursnif, mas que foi modificado com funções expandidas pesadamente e se transformou em um dropper VBS de malware. LOLSnif foi detectado como parte de várias campanhas de ataque, e examinar seu funcionamento interno pode ser bastante significativo.

Como método de infiltração, o LOLSnif emprega e-mails de phishing que transportam um arquivo ZIP criptografado com o código para a sua descriptografia, escrito no corpo do e-mail. Quando a vítima tenta descompactar o arquivo corrompido, o LOLSnif ativa e inicia o processo de infecção. Sua primeira ação é realizar várias digitalizações anti-análise e anti-sandbox. Os autores do LOLSnif implementaram várias camadas de funções para determinar se o malware está sendo executado em um ambiente de sandbox. Ao criar uma instância WMI, o LOLSnif pode procurar informações na categoria cimv2 da máquina local, permitindo que ela pesquise algumas características comuns de sandbox. Ele pode verificar o número de núcleos de processador ou a memória física total em execução na máquina; se houver menos de três núcleos ou se a memória estiver abaixo de 1023, o malware termina a sua operação. Uma digitalização também é feita, procurando por uma lista bastante abrangente de ferramentas de análise e, se for detectada alguma em execução, o LOLSnif é encerrado novamente. Outras digitalizações são realizadas se a máquina tiver volumes lógicos com menos de 60 GB de tamanho ou se houver três ou menos arquivos nas pastas/temp e/downloads . Ao detectar a localização do sistema operacional em russo ou chinês, o LOLSnif também interrompe a sua execução.

Quanto à estrutura de arquivos, o LOLSnif consiste em dois arquivos de biblioteca de vínculo dinâmico (DLL) - um carregador e uma carga útil, projetados para funcionar em arquiteturas x86. Embora hajam sinais de que os hackers planejam adicionar funcionalidade para os sistemas baseados no x64, isso ainda não foi implementado. Para interagir com o Registro da máquina visada, o LOLSnif utiliza APIs Win32 nativas ou, como mencionamos anteriormente, o Windows Management Instrumentation (WMI). Ele também usa extensivamente interfaces COM. Para contornar a configuração de proxy da rede infiltrada, ele aproveita o Internet Explorer e o define como o navegador padrão, para entrar em contato com os seus servidores de Comando e Controle sem gerar nenhum alerta. Deve-se observar que o LOLSnif é capaz de baixar módulos adicionais e cargas úteis na máquina infectada.

Os analistas de segurança detectaram que o LOLSnif tem sido uma parte crucial de vários ataques em andamento que utilizam três botnets diferentes. Os hackers parecem estar um tanto confiantes nos recursos de infiltração do seu malware e em sua capacidade de permanecer sob o radar, porque continuam reutilizando IPs e domínios em várias campanhas. Sem dúvida, o LOLSnif é um malware ameaçador com ofuscação sofisticada e recursos expandidos. As empresas devem tomar as precauções necessárias e adotar protocolos de segurança cibernética apropriados para proteger suas redes internas.