Malware bancário é disseminado através da velha técnica ‘UTF8-BOM ‘.

Os hackers continuam a empregar novas técnicas para evitar a detecção de antivírus e outros produtos de segurança. Desta vez, estão a utilizar a conhecida técnica BOM amplamente utilizada no passado.

Anteriormente, grupos de hackers russos usavam essa técnica para modificar o ficheiros hosts em sistemas Windows.

Os investigadores da kaspersky detetaram uma nova campanha de spear phishing para entregar às vítimas os ficheiros corrompidos.

Quando o utilizador tenta abrir o ficheiro ZIP é apresentado o seguinte erro.

return-of-bom-1

 

“Instead of having the normal ZIP header starting with the “PK” signature (0x504B), we have three extra bytes (0xEFBBBF) that represent the Byte Order Mark (BOM) usually found within UTF-8 text files. Some tools will not recognize this file as being a ZIP archive format, but will instead recognize it as a UTF-8 text file and fail to extract the malicious payload,” reads Kaspersky blog post.

 

Mas os mesmos ficheiros corrompidos podem ser abertos através de apps terceiras, como o WinRAR e o 7-Zip. Depois de o ficheiro ser extraído com sucesso, o malware é executado e inicia o processo de infeção.

O malware apenas atinge os utilizadores que usam apps de terceiros como o WinRar e 7-Zip.

return-of-bom-3

 

O executável malicioso funciona como um loader para carregar a carga principal (o malware propriamente) da seção principal de recursos.

O malware é uma DLL com uma função BICDAT que está cifrada com um algortimo baseado na operação bit-a-bit XOR. Essa biblioteca e responsável por descarregar o segundo stage que é um ficheiro zip protegido por password.

Esse executável está protegido com a mesma técnica (XOR) e é um malware concebido para atacar instituições bancárias.

O malware procura as informações a seguir na máquina afetada:

  • Token
  • Access card code
  • Date of birth
  • Account password
  • Internet banking password
  • Electronic signature

 

O RAT parece ter origem brasileira.

return-of-bom-8-1

 


Deixe um comentário

O seu endereço de email não será publicado. Campos obrigatórios marcados com *