Vimditator

Uma ameaça de malware chamada Vimditator está se espalhando por uma campanha que usa vulnerabilidades e tem como alvo instituições financeiras na Itália, Chile, Coréia do Sul, Índia, Malawi e Paquistão. O grupo que está realizando os ataques do Vimditator não é novo no cenário de ameaças on-line e está trabalhando ativamente desde 2014. Esse grupo, o TA505, foi vinculado a ataques que usavam cavalos de Tróia bancários Shifu e Dridex, o Neutrino Exploit Kit e o famoso Locky Ransomware e parecia estar localizado na Rússia.

O Vimditator está ameaçando devido à sua capacidade de fornecer a terceiros acesso à máquina infectada, de onde eles podem coletar dados críticos, como nome de usuário e senha para serviços bancários on-line e outros dados pessoalmente identificados que podem permitir que eles executem ações prejudiciais contra o usuário do computador. Felizmente, uma máquina bem protegida será infectada por ameaças raramente. É isso que torna os softwares de segurança e os backups de arquivos tão necessários hoje em dia.

O arquivo malicioso usado nas campanhas de phishing continha macros. As macros iniciam uma conexão com o domínio em local365office.com e executam silenciosamente o msiexec.exe, que baixa um arquivo do instalador MSI. Isso, por sua vez, descarta outro arquivo em um diretório temporário. Esse arquivo é descompactado para appdata/local/temp, produzindo três novos arquivos que consistem em um RAT, um arquivo de extração automática e um iniciador de arquivo em lote .cmd que também funciona como um método para estabelecer persistência no sistema.

O arquivo .cmd faz ping para cloudflare.com com 3 solicitações de eco. O malware faz isso para garantir que o sistema esteja conectado à Internet. Se as solicitações de ping continuarem, o arquivo de extração automática que originalmente se apresenta como um arquivo .dll é renomeado para .exe e extraído, usando uma sequência de senha longa.

O arquivo de extração automática descarta outros quatro arquivos em C:\ProgramData\Microtik. Os arquivos incluem a carga útil, uma ferramenta de acesso remoto, outro iniciador de arquivos em lotes e um arquivo de configuração usado pelo malware.

Os servidores de comando e controle identificados usados pelos maus atores por trás das campanhas do Vimditator incluem:

• local365office.com
• office365onlinehome.com
• afgdhjkrm.pw

Os hashes MD5 dos arquivos associados às infecções pelo Vimditator incluem:

• c0440bd30ed33cfb7b0e29fbf0debe6f - o iniciador de arquivo em lote .cmd
• e377557c8f35beeb050370c4479bcb04 - documento usado no phishing da empresa de varejo