Talos está constantemente monitorando o cenário de ameaças, incluindo o cenário de ameaças de e-mail. Ultimamente esta paisagem tem sido dominado com a distribuição Locky. Durante uma recente férias Locky Talos notado uma mudança interessante em tipos de arquivo que está sendo usado para distribuir outra família de malware conhecido, Fareit. 

Nós discutimos Fareit antes , é um trojan usado para roubar credenciais e distribuir vários tipos diferentes de malware. O foco deste post não será em Fareit mas em uma nova forma atacantes estão trabalhando para distribuí-lo via e-mail. Locky foi um estudo de caso em como aproveitar diferentes extensões de arquivo no e-mail para distribuir malware. O uso de vários tipos de arquivo, como js, .wsf e .hta têm sido utilizados com bastante sucesso para Locky. Nós já observou outras ameaças fazendo uso de js para distribuição em grande parte devido ao sucesso de Locky. Recentemente, observou outro tipo de arquivo raro associado com e-mail e decidiu cavar um pouco mais sobre a cadeia de infecção.

Esta investigação começou com a identificação de um tipo de arquivo incomum, .mht. Arquivos MHT, também conhecidos como arquivos .mhtml, são arquivos MIME HTML. Esses arquivos são normalmente criados ao tentar salvar um documento ou outro conteúdo como uma página da web. Arquivos MHT pode ser criado usando vários tipos de aplicações, incluindo navegadores web e processadores de texto.Neste caso, encontramos uma pequena campanha de spam supostamente como um documento de pagamento de faturamento do HSBC. Eles também fez questão de incluir algumas dicas de segurança no e-mail, incluindo não abrir anexos de remetentes desconhecidos ou não verificados. Ironicamente, se um usuário vier a seguir estas instruções, teriam evitado a infecção potencial. 

Talos começou a analisar o arquivo .mht e encontrou um par de petiscos interessantes. A primeira coisa de nota foi uma referência a um arquivo .hta. Arquivos HTA ou aplicação HTML têm sido utilizados periodicamente nos últimos seis meses durante as campanhas locky e apenas como js pode ser aproveitado para executar nativamente no Microsoft Windows.

Saiba mais: Cisco Talos

Wednesday, November 23, 2016







« Voltar