O Trojan Bancário Zeus Sphinx Retorna em Meio à Pandemia do COVID-19

Após um hiato de três anos, vemos o Trojan bancário Zeus Sphinx retornando, explorando o tema mais comum que vemos por trás da maioria dos ataques durante a atual pandemia - spam relacionado ao COVID-19.

O Trojan bancário Zeus Sphinx (a/k/a Terdot e Zloader) foi detectado pela primeira vez em agosto de 2015. Como os especialistas em segurança explicaram na época, é um malware modular baseado no código fonte vazado do notório Trojan bancário Zeus, da mesma forma que o Floki Bot e Zeus Panda.

Quando foi detectado pela primeira vez, o Trojan bancário Zeus Sphinx visava uma série de metas financeiras britânicas, enquanto em 2016 mudou o foco para as Olimpíadas do Rio. O principal recurso do Zeus Sphinx é coletar credenciais de contas on-line por meio de injeções na Web, que alteram o site de um banco e induzem a vítima a inserir suas credenciais em um formulário que é enviado diretamente aos atacantes.

Antes de fazer isso, no entanto, o Trojan bancário do Zeus Sphinx precisa primeiro se infiltrar no sistema. Para fazer isso, os atacantes contam com táticas de engenharia social. Os cibercriminosos por trás das atuais campanhas de spam e phishing que distribuem o Zeus Sphinx estão usando um tema relacionado ao Coronavírus, enviando e-mails que supostamente contêm um formulário de alívio do Coronavírus que a vítima precisa preencher para receber fundos do governo.

De acordo com Amir Gandler e Limor Kessem, os pesquisadores de segurança da X-Force da IBM, os operadores Zeus Sphinx continuam focados em bancos localizados nos EUA, Austrália e Canadá, enviando documentos com um malware chamado '' alívio COVID 19 '' para suas vítimas. A maioria dos documentos são arquivos .docx ou .doc, que, uma vez abertos, solicitam ao usuário que habilite macros '', desencadeando sem querer o primeiro passo da cadeia de infecção. '' Depois que a macro maliciosa for executada, ele instalará um downloader de malware que buscará a carga final de um servidor remoto de comando e controle (C2).

A rotina atual de infecção é semelhante aos tempos anteriores em que vimos o Zeus Sphinx em ação, com pesquisadores observando que: '' No início, o malware cria um processo oco, o msiexec.exe, e injeta seu código nele. Essa mesma etapa foi usada para implantação por versões mais antigas do Sphinx. Ele cria a primeira pasta em% APPDATA% e cria um arquivo executável nela. Mais tarde, ele mudará a extensão para .DLL para fins de persistência. ''

Depois de estabelecer uma posição no sistema, o Trojan bancário Zeus Sphinx começará a comunicação com seu servidor C2 usando uma plataforma chamada '' Tabelas ''. A plataforma '' Tables '' é um painel de controle baseado na Web para injeções na Web que '' fornece todos os recursos necessários para o malware infectar e coletar informações relevantes das máquinas das vítimas infectadas ' ', segundo Gandler e Kessem.

Eles elaboram: '' Depois que uma conexão com o painel Tabelas for estabelecida, o Sphinx buscará arquivos JavaScript adicionais para que suas injeções na Web se ajustem ao banco de destino em que o usuário está navegando. As injeções são configuradas no mesmo domínio com scripts JS específicos para cada banco/destino. ''

O Trojan bancário Zeus Sphinx, no entanto, possui uma falha inerente, de acordo com pesquisadores de segurança: '' Para realizar injeções na Web, o malware corrige o explorer.exe e o navegador processa iexplorer.exe/chrome.exe/firefox.exe, mas não '' ele tem a capacidade real de se repetir novamente se esse patch for corrigido, o que torna o problema menos persistente e improvável que sobreviva às atualizações de versão. ''

Infelizmente, à medida que a pandemia do COVID-19 continua se desenrolando, mais e mais agentes de ameaças estão explorando os medos das pessoas para pressionar todos os tipos de vírus de computador também. As agências governamentais de todo o mundo já começaram a alertar as pessoas contra a abertura de links ou anexos enviados por pessoas desconhecidas, especialmente com o aumento da dependência de comunicações on-line devido às medidas de quarentena adotadas em muitos países.