Lucifer Trojan

Por GoldSparrow em Trojans

Traduzir Para:

Uma equipe de pesquisadores de malware descobriu o Lucifer, um Trojan bancário pertencente à mesma família de malware que o Guildma Trojan, que apareceu pela primeira vez no Brasil em 2015, mas passou a atingir instituições na maioria da América Latina, América do Norte, Europa e Ásia. Devido à enorme escala da infraestrutura em torno do recém-encontrado Trojan Lucifer, os especialistas sugerem que ele está apenas se preparando para uma campanha mundial maciça, visando instituições financeiras, tais como Guildma fez antes.

A infraestrutura é composta de cinquenta a sessenta URLs, e os analistas acreditam que isso permitirá que o Trojan Lucifer tenha um alcance global em um período de apenas dois ou três meses. O ponto de entrada do Lucifer Trojan é uma vulnerabilidade do Windows no processo WMIC.EXE, explorada com um atalho do Windows especialmente criado, que baixa dois arquivos eXtensible Stylesheet Language (XSL) e executa o seu código Javascript incorporado. Isso permite que os invasores executem scripts em máquinas que tenham o serviço Windows Script Host desativado ou bloqueado.

A próxima fase do ataque é muito mais complicada. Ele emprega o processo oco para alterar o código executável de um aplicativo confiável carregado na memória e ocultar o código malicioso. O código é dividido entre cinco arquivos diferentes, em um esforço para dificultar a detecção e análise. Essa fase está concluída quando o bot principal for descriptografado e injetado com sucesso no processo userinit.exe.

O Ataque do Lucifer Trojan Usa Medidas Altamente Sofisticadas para Lançar Ataques

Antes de executar o núcleo do ataque, o bot principal usa uma lista negra de números de série do volume e nomes de computadores conhecidos para detectar Sandboxes e verificar o idioma da máquina infectada. Depois que as verificações de segurança são aprovadas, ele desinstala qualquer malware de uma campanha anterior originada na mesma organização cibernética criminosa. Ele estabelece a sua presença no sistema infectado, definindo uma nova chave de registro - HKCU\Software\Microsoft\Windows\CurrentVersion\ un.

Depois disso, o Trojan bancário do Lucifer está pronto para começar a usar asnsuas principais funcionalidades, que incluem um keylogger padrão e o rastreamento de quaisquer URLs visitados pela vítima. Se a vítima visitar um dos sites bancários visados pelo Trojan Lucifer, o malware fará capturas de tela e as enviará para os seus servidores de Comando e Controle (C2).

Além das funções sofisticadas do Trojan bancário principal, o bot principal também é capaz de carregar módulos extras que ele baixou no primeiro estágio do ataque. Até agora, o Trojan Lucifer foi atualizado com um total de três módulos, o primeiro dos quais é um infostealer que pode roubar informações de cartão de crédito, nomes de usuário, senhas e e-mails de várias plataformas, incluindo Gmail, Facebook, Twitter, Amazon e Netflix.

O segundo módulo é um remetente de e-mail de spam, que permite ao Trojan Lucifer receber instruções externas adicionais dos seus servidores C2 e enviar e-mails de spam da máquina da vítima. O terceiro módulo é uma versão oficial do WebBrowserPassView, uma ferramenta não maliciosa de recuperação de arquivos e senhas, desenvolvida pela NirSoft, e usada para roubar senhas das vítimas.

Em conclusão, o Trojan bancário Lúcifer está se transformando em uma ameaça significativa que pode levar a graves perdas financeiras, problemas de privacidade e roubo de identidade. Se você suspeitar que pode estar infectado com o Trojan bancário Lucifer ou outro tipo de malware, é recomendável removê-lo imediatamente, usando um software anti-vírus legítimo.