Produzido pelo Security Red Team da Real Protect

 

Resumo

Uma ampla campanha de ataques cibernéticos originados no México, vem focando o próprio país, El Salvador e outros países da América Latina, como a Guatemala, Argentina e Costa Rica. A campanha batizada de LeetMX, vem acontecendo desde 16 de Novembro de 2016. Ainda não sabemos seus objetivos, mas estima-se que sejam ganhos financeiros. A estrutura do LeetMX inclui 27 hosts e domínios, usados para a entrega de malwares ou para assumir controle dos dispositivos infectados.

Centenas de malwares foram usados e, em sua maioria, são RATs (Remote Access Trojans) e keyloggers. Os atacantes camuflaram um de seus domínios maliciosos através de redirecionamentos dos visitantes ao El Universal, um dos principais jornais do México.

 

Sobre a Campanha

Pontos de Acesso e Infecção

A grande maioria dos ataques possui como vetor um macro em Powershell, direcionados ao pacote Office da Microsoft. Os pontos de infecção costumam ser URLs falsas e arquivos executados pelos operadores das máquinas dentro das companhias alvo.

Abaixo, seguem 2 exemplos de arquivos infectados, sendo orientados aos exploits do MS Office:

 

Infraestrutura e Distribuição

Os domínios abaixo contemplam uma amostra dos endereços utilizados no ataque:

  • rsafinderfirewall      /////.com
  • cloudsfullversionooficcekey     /////.com
  • dryversdocumentofficescloud    //////.com
  • mycloudtoolzshop        /////.net

O primeiro link, rsafinderfirewall, redireciona os alvos ao site do El Universal, um dos principais jornais mexicanos. O redirecionamento acontece quando o link é acessado diretamente, ao invés de apontado para seu arquivo infectado. Para acessar o malware, o acesso deve ser:

  • http://rsafinderfirewall  //////.com/       Es3tC0deR3name        //////.exe

Repare no segundo domínio, em que Office está escrito errado, o que deve ser suficiente para levantar suspeita. Nenhum dos domínios é HTTPS ou apresenta protocolos de segurança. Esses domínios são os responsáveis pela distribuição dos malwares, atráves das macros dentro dos arquivos infectados ou por acesso direto.

O domínio c0pywins.is-not-certified pode ser rastreado de volta aos ISPs do México. Em particular, Mérida, a capital de Iucatã, província mexicana.

Todos os DNS Dinâmicos detectados no ataque eram alocados por IPs de provedores mexicanos.

Se rastreados, os domínios apontam endereços e donos também dentro do México. Tudo observado nos ataques indica que a origem é, de fato, o México.

 

Detalhamento do Ataque

A macro embutida nos documentos maliciosos executa um script Powershell conforme imagem abaixo:

Exemplo de macro dentro dos arquivos infectados do MS Office.

Boa parte dos arquivos infectados também tinham um alfabeto próprio e eram fáceis de identificar, sendo incomum ao usuário comum. Alfabeto “leet”, como 4D0b3 ao invés de Adobe, por exemplo. Os arquivos estão sempre indicando um .exe ou arquivo interno disfarçado de algo comum para o usuário.

Um dos exemplos de arquivo é:

  • [domíniodeataque.com]/url/    Off1cc3k3ysV4l1d      /////////.exe

Onde o “correto” deveria ser “OfficcekeysValid.exe”. Esta técnica é normalmente utilizada para contornar mecanismos de detecção baseadas em matches de assinatura por string.

 

Keylogger e Malware Usados

O malware utilizado para as infecções foi uma modificação do original Xtreme RAT, um software de command & control relativamente estabelecido no mercado “hacker” de ferramentas. A empresa FireEye realizou um trabalho extensivo de análise do software, que pode ser conferido em https://www.fireeye.com/blog/threat-research/2014/02/xtremerat-nuisance-or-threat.html.

Os atacantes também realizam o deploy de um keylogger para captura de informações digitadas pelo mesmo, como credenciais e senhas. O keylogger detectado é uma versão do iSpy Keylogger, também comercializado por atacantes. Sua respectiva análise pode ser conferida em https://www.fireeye.com/blog/threat-research/2014/02/xtremerat-nuisance-or-threat.html.

Indicadores de Compromentimento (IOCs)

Abaixo listamos alguns indicadores de comprometimento da campanha em questão. A lista completa, com aproximadamente 1128 IoC’s pode ser visualizada em (T:\Projetos e Servicos\Real Protect\Security Red Team\Threat Intelligence\Novembro 2017\ leetmx_ioc_full_list.csv).

 

Lista de domínios utilizados no ataque

c0pywins.is-not-certified[.]com
cloudrsaservicesdriveoffic[.]com
cloudsfullversionooficcekey[.]com
dryversdocumentofficescloud[.]com
dryversdocumentsandcustom[.]
opendrivecouldrsafinder[.]com
rsafinderfirewall[.]com
rsause.ntdll[.]net
sslwin.moneyhome[.]biz
wins10up.16-b[.]it

Lista de arquivos dos domínios de infecção

Off1cc3k3ysV4l1d.exe
CudaUtil.exe
Javaupdate2017205.exe
USB Flash Security.exe
J4v4S3tups00.exe
ad0veupdates2o17.exe
0ff1c3v4l1dkey2017.exe
Off1c3TMP2018.exe
0fficeV4lids00.exe
 

Conclusão e Recomendações

Os ataques visaram grandes órgãos do governo e companhias de crédito. O Brasil não se mostra como alvo dos ataques, mesmo em um cenário onde o foco é a América Latina. Cedo ou tarde, é possível que a campanha chegue ao país. É importante que o caso seja acompanhado de perto pelos responsáveis órgãos e empresas de segurança da informação, para mitigar os riscos de forma prévia.

Seguem abaixo algumas recomendações da Real Protect para auxiliar na detecção e mitigação de ataques similares:

  • Conscientização de Segurança para usuários (anti-phishing);
  • Utilização de Filtros de Spam atualizados com as assinaturas mais recentes;
  • Utilização de antivírus em todos os ativos, atualizados com as assinaturas mais recentes;
  • Desabilitar o Powershell para toda a empresa, liberando sua utilização apenas para usuários que realmente utilizem como ferramenta de trabalho.