Os hackers continuam a empregar novas técnicas para evitar a detecção de antivírus e outros produtos de segurança. Desta vez, estão a utilizar a conhecida técnica BOM amplamente utilizada no passado.
Anteriormente, grupos de hackers russos usavam essa técnica para modificar o ficheiros hosts em sistemas Windows.
Os investigadores da kaspersky detetaram uma nova campanha de spear phishing para entregar às vítimas os ficheiros corrompidos.
Quando o utilizador tenta abrir o ficheiro ZIP é apresentado o seguinte erro.
“Instead of having the normal ZIP header starting with the “PK” signature (0x504B), we have three extra bytes (0xEFBBBF) that represent the Byte Order Mark (BOM) usually found within UTF-8 text files. Some tools will not recognize this file as being a ZIP archive format, but will instead recognize it as a UTF-8 text file and fail to extract the malicious payload,” reads Kaspersky blog post.
Mas os mesmos ficheiros corrompidos podem ser abertos através de apps terceiras, como o WinRAR e o 7-Zip. Depois de o ficheiro ser extraído com sucesso, o malware é executado e inicia o processo de infeção.
O malware apenas atinge os utilizadores que usam apps de terceiros como o WinRar e 7-Zip.
O executável malicioso funciona como um loader para carregar a carga principal (o malware propriamente) da seção principal de recursos.
O malware é uma DLL com uma função BICDAT que está cifrada com um algortimo baseado na operação bit-a-bit XOR. Essa biblioteca e responsável por descarregar o segundo stage que é um ficheiro zip protegido por password.
Esse executável está protegido com a mesma técnica (XOR) e é um malware concebido para atacar instituições bancárias.
O malware procura as informações a seguir na máquina afetada:
- Token
- Access card code
- Date of birth
- Account password
- Internet banking password
- Electronic signature
O RAT parece ter origem brasileira.