![\"microsoft](\"https:\/\/1.bp.blogspot.com\/-ybHEWPdOAxo\/XErwUYV8mWI\/AAAAAAAAzI8\/6og0VjSlhm0SFVeK6rTL6zVqxW2fn2RlwCLcBGAs\/s728-e100\/microsoft-word-gandcrab-ursnif-malware.jpg\")
<\/a><\/figure>\r\n\r\n\r\n\r\nMS Docs + macros VBS = infec\u00e7\u00e3o Ursnif e GandCrab<\/p>\r\n\r\n
A primeira campanha de malware distribuindo duas amea\u00e7as de malware foi descoberta por pesquisadores de seguran\u00e7a da Carbon Black, que localizaram cerca de 180 variantes de documentos do MS Word que visam usu\u00e1rios com macros VBS maliciosas.<\/p>\r\n
Se executada com \u00eaxito, a macro VBS mal-intencionada executa um script PowerShell, que usa uma s\u00e9rie de t\u00e9cnicas para baixar e executar Ursnif e GandCrab nos sistemas de destino.<\/p>\r\n\r\n O script do PowerShell \u00e9 codificado em base64, que executa o pr\u00f3ximo est\u00e1gio de infec\u00e7\u00e3o, que \u00e9 respons\u00e1vel pelo download das principais cargas de malware para comprometer o sistema.<\/p>\r\n A primeira carga \u00e9 uma linha do PowerShell que avalia a arquitetura do sistema de destino e, em consequ\u00eancia, baixa uma carga adicional do site do Pastebin, que \u00e9 executado na mem\u00f3ria, dificultando que as t\u00e9cnicas tradicionais de antiv\u00edrus detectem suas atividades.<\/p>\r\n A carga \u00fatil final ent\u00e3o instala uma variante do ransomware GandCrab no sistema da v\u00edtima, bloqueando-o de seu sistema at\u00e9 que ele pague um resgate em moeda de d\u00edgitos.<\/p>\r\n Enquanto isso, o malware tamb\u00e9m baixa um execut\u00e1vel Ursnif de um servidor remoto e, uma vez executado, imprimir\u00e1 o sistema, monitorar\u00e1 o tr\u00e1fego do navegador para coletar dados e o enviar\u00e1 ao servidor de comando e controle (C & C) dos invasores.<\/p>\r\n “No entanto, in\u00fameras variantes Ursnif foram hospedadas no site bevendbrec[.]com durante esta campanha. Carbon Black foi capaz de descobrir aproximadamente 120 variantes Ursnif diferentes que estavam sendo hospedadas a partir dos dom\u00ednios iscondisth[.]com e bevendbrec[.]com “<\/p>\r\n\r\n MS Docs + VBS macros = Malware de roubo de dados da Ursnif<\/p>\r\n\r\n Da mesma forma, a segunda campanha de malware que foi identificada por pesquisadores de seguran\u00e7a da Cisco Talos aproveita um documento do Microsoft Word contendo uma macro VBA maliciosa para fornecer outra variante do mesmo malware Ursnif.<\/p>\r\n\r\n Esse ataque de malware tamb\u00e9m compromete os sistemas de destino em v\u00e1rios est\u00e1gios, come\u00e7ando de e-mails de phishing at\u00e9 a execu\u00e7\u00e3o de comandos mal-intencionados do PowerShell para obter persist\u00eancia sem arquivos e, em seguida, baixando e instalando o v\u00edrus de computador Ursnif.<\/p>\r\n\r\n <\/p>\r\n\r\n “H\u00e1 tr\u00eas partes no comando [PowerShell]. A primeira parte cria uma fun\u00e7\u00e3o que \u00e9 usada mais tarde para decodificar o PowerShell codificado em base64. A segunda parte cria uma matriz de bytes contendo uma DLL maliciosa”, conforme explica\u00e7\u00e3o dos pesquisadores da Talos.<\/p>\r\n “A terceira parte executa a fun\u00e7\u00e3o de decodifica\u00e7\u00e3o base64 criada na primeira parte, com uma string codificada em base64 como o par\u00e2metro para a fun\u00e7\u00e3o. O PowerShell decodificado retornado \u00e9 subseq\u00fcentemente executado pela fun\u00e7\u00e3o Invoke-Expression (iex) abreviada.”<\/p>\r\n Uma vez executado no computador da v\u00edtima, o malware coleta informa\u00e7\u00f5es do sistema, as coloca em um formato de arquivo CAB e as envia para seu servidor de comando e controle por meio de uma conex\u00e3o segura HTTPS.<\/p>\r\n Pesquisadores da Talos publicaram uma lista de indicadores de comprometimento (IOCs), juntamente com os nomes de arquivos carregados em m\u00e1quinas comprometidas, em seu blog que podem ajudar a detectar e interromper o malware Ursnif antes que ele infecte sua rede.<\/p>\r\n\r\n <\/p>\r\n\r\n\r\n\r\n<\/a><\/figure>\r\n\r\n<\/a><\/figure>\r\n\r\n