Um novo kit de crimeware — Rubella Macro Builder — está a ganhar grande popularidade no mundo dos cibercriminosos.

Um novo kit de crimeware apelidado de Rubella Macro Builder está a ganhar popularidade no mundo dos cibercriminosos. O Rubella Macro Builder permite que os criminosos gerem um payload malicioso tendo como target campanhas de engenharia social. Os cibercriminosos estão a oferecer o malware como um serviço — MaaS (Malware as a service) — e com uma licença de três meses (US $120) para quem o quiser adequirir.

“While newer versions of the builder are significantly cheaper—as of April, a three-month license is $120 USD—they also come with enhanced features including various encryption algorithm choices ( XOR and Base64), download methods (PowerShell, Bitsadmin, Microsoft.XMLHTTP, MSXML2.XMLHTTP, custom PowerShell payload), payload execution methods (executable, JavaScript, Visual Basic Script), and the ability to easily deploy social engineering decoy themes with an Enable Content feature turned on to run the macro.” reads the analysis published by Flashpoint.

 

De acordo com os especialistas de segurança da Flashpoint, o Rubella não é particularmente sofisticado. Ele é usado para criar documentos  Microsoft Word ou Excel para usar em campanhas maliciosas, SPAM, via engenharia social. O malware gerado pelo Rubella atua como um “abre-latas” de primeira linha para outros malwares.

O Rubella Macro Builder é, de facto, barato, rápido e fácil de usar pelos indivíduos com intuito malicioso. Ele pode ser adquitiro como um serviço (MaaS), e o malware gerado consegue ultrapassar (bypass) a detecção de antivírus.

Rubella-Macro-Builder

 

De acordo com os especialistas da Flashpoint, os grupos criminosos também a usar o malware Rubella nas suas campanha fraudulentas, por exemplo, os grupos hacktivistas por trás dos malwares bancários Panda e Gootkit usaram o Rubella.

“The macro junk and substitution method appears to be relatively primitive, relying on basic string substitutions. Additionally, its copy/paste implementation of the Base64 algorithm is displayed in Visual Basic Script (VBS) code implementation. The code is obfuscated through general Chr ASCII values.” continues the analysis.

A Flashpoint publicou os indicadores do comprometimento  — indicators of compromise (IOCs) para a Rubella macro.