Mova o Mouse e Você Poderá Ter Seus Detalhes Bancários Roubados

Um Site Comprometido Aguarda Interação do Usuário Antes de Enviar Malware

Os fãs de boxe da Rússia tiveram uma surpresa desagradável há algumas semanas. Eles queriam ler as últimas notícias sobre seu esporte favorito, mas, em vez disso, receberam um Trojan bancário chamado Buhtrap, cujo nome deriva de "Buhgalter", a palavra russa para "contador" e "armadilha".

Tudo veio de um portal on-line relacionado ao boxe chamado allboxing.ru. Usar sites populares (com 3 milhões de visitantes por mês, o allboxing.ru é definitivamente popular) para infectar pessoas inocentes com malware não é novidade. Quando eles examinaram a atividade maliciosa no allboxing.ru, no entanto, pesquisadores do ForcePoint descobriram que, nesse caso específico, os hackers usaram algumas técnicas bastante inovadoras.

Os atores de ameaças comprometeram o site e injetaram seu código malicioso diretamente em um arquivo .js que operava o plugin jQuery, o que mostra que eles realmente pensavam em evitar a detecção precoce. Eles usaram termos de boxe no URL do servidor Command & Control, o que também ajuda a manter as suspeitas no mínimo. O mais interessante, no entanto, é a maneira como o malware real é ativado.

O malware foi programado para rastrear a interação dos usuários com o site e fornecer pontos. Se você mover o mouse, por exemplo, você ganha 1 ponto; se você rolar para baixo ou para cima, obtém 11 pontos; se você clicar em um link ou imagem, você obtém 16 pontos. Quando sua pontuação atingir 31, o malware abrirá um iFrame oculto, que executará alguns comandos do PowerShell e baixará um arquivo chamado tysonfury.jpg dos C&C dos atores de ameaças. O arquivo em questão contém o Trojan bancário real.

Por que os hackers se incomodaram com o sistema de pontuação em vez de infectar os usuários assim que eles abriram o site? É um caso simples de rastrear a interação do usuário em que os atores de ameaças podem garantir que exista um ser humano real do outro lado. Dessa forma, o malware não será acionado por uma análise automatizada de varredura e terá a chance de permanecer dentro do site comprometido por mais tempo.

Pelo lado positivo, o código malicioso explora uma vulnerabilidade do Internet Explorer, que foi roubada do agora extinto kit de exploração Neutrino. A falha de segurança foi corrigida pela Microsoft e as pessoas que usam versões recentes do Internet Explorer não devem ter problemas. Usuários do Firefox e Chrome também são seguros.

No entanto, esse ataque em particular mostra que os atores de ameaças estão buscando ativamente maneiras cada vez mais inteligentes de conduzir suas operações ilegais sem serem detectadas.