O ataque do programador Nitrokod faz tudo o que é possível para evitar a deteção e pode permanecer ativo durante anos.
Por Lucian Constantin
Os investigadores descobriram uma nova campanha de entrega de malware em várias fases que se baseia em instaladores de aplicações legítimas distribuídas através de sites populares de download de software. A entrega da carga útil maliciosa, que inclui um programa de mineração de moedas criptográficas, ocorre em fases com grandes atrasos que podem atingir até um mês.
“Após a instalação inicial do software, os atacantes atrasaram o processo de infeção durante semanas e removeram vestígios da instalação original”, afirmam os analistas da Check Point no seu relatório. “Isto permitiu que a campanha funcionasse com sucesso durante anos”.
A campanha começou em 2019
De acordo com a equipa de investigação, o programador de software de língua turca chamado Nitrokod está por detrás do ataque, que tem estado a decorrer desde pelo menos 2019. O seu website afirma que tem vindo a criar aplicações gratuitas incluindo conversores e leitores de vídeo e música com uma base instalada em cerca de 500.000 utilizadores.
Alguns dos softwares de trojanização de Nitrokod podem ser encontrados em sites de download como Softpedia e Uptodown. A aplicação que a Check Point analisou chama-se Google Translate Desktop, o que lhe permite utilizar o serviço de tradução do motor de busca, que normalmente só está disponível como serviço web através do navegador.
De facto, esta aplicação é construída utilizando o projeto de código aberto Chromium Embedded Framework (CEF) que permite aos programadores implementar o navegador Chrome nas suas aplicações para exibir conteúdo web. Isto permitiu ao Nitrokod criar aplicações funcionais sem muito esforço. Para além desta aplicação, o programador também distribui software semelhante como Yandex Translate Desktop, Microsoft Translator Desktop, YouTube Music Desktop e MP3 Download Manager, entre outros, e ‘trojanizou-os’ em 11 países.
Atraso na implementação de malware para evitar a deteção
Uma vez que o utilizador descarrega e instala a aplicação, a implantação de cargas úteis maliciosas não ocorre imediatamente, o que é uma estratégia para evitar a deteção. Até ao ponto final, a instalação é invulgar em termos de como se comportaria uma aplicação legítima: recolher alguns dados do sistema para fins estatísticos e implementar o que parece ser uma componente de atualização automática. No entanto, após aproximadamente quatro reinicializações do sistema em quatro dias diferentes, o update.exe descarrega e implementa outro componente chamado chainlink1.07.exe. Este mecanismo de atrasar a implantação e exigir múltiplos reinícios é provavelmente uma tentativa de derrotar os sistemas de análise de sandboxes, que não testam o comportamento da aplicação em múltiplos reinícios.
O stager chainlink1.07.exe cria quatro tarefas programadas diferentes que funcionarão com diferentes atrasos. Um deles, que funciona de três em três dias, utiliza o PowerShell para apagar os registos do sistema. Outro está programado para funcionar a cada 15 dias e descarrega outro arquivo RAR de um domínio diferente que utiliza a intelserviceupdate intencionalmente enganosa do nome. Uma terceira tarefa programada corre de dois em dois dias e é configurada para descomprimir o arquivo RAR, se existir, enquanto a quarta tarefa corre todos os dias e é configurada para executar outro componente do arquivo.
Embora estejam preparadas para funcionar com mais frequência, a terceira e quarta tarefas não fazem nada até à tarefa atrasada de 15 dias que descarrega o arquivo RAR, caso contrário não há arquivo para extrair e não há executável para executar.
“Nesta altura, todos os ficheiros e provas relacionadas são eliminados e a fase seguinte da cadeia de infeção continuará após 15 dias pelo utilitário Schtasks.exe do Windows”, disseram os investigadores. “Desta forma, as primeiras fases da campanha são separadas das seguintes, tornando muito difícil localizar a origem da cadeia de infeção e bloquear as aplicações iniciais infetadas”.
O novo componente malicioso é um conta-gotas intermediário que prepara ainda mais o sistema para as fases finais. Primeiro, verifica os processos em curso para aplicações de máquinas virtuais conhecidas e produtos de segurança e, se encontrar algum, para a execução. Se esta verificação for aprovada, acrescenta uma nova regra de firewall para os seguintes componentes, bem como exclusões para eles no Windows Defender.
Finalmente, o conta-gotas implementa outro componente chamado nniawsoykfo1.8.exe, que depois implementa dois outros ficheiros executáveis chamados nniawsoykfo.exe e powermanager.exe. O último é uma cópia do programa de mineração de criptografia de código aberto XMRig, enquanto o primeiro é um componente que controla o mineiro e se liga a um domínio com nvidiacenter no seu nome, onde o servidor comum e de controlo dos atacantes é alojado.
O programa envia informações sobre o sistema, tais como tempo de inatividade, número de núcleos de CPU, se é um computador de secretária ou um portátil, programas antivírus instalados, a versão do Powermanager.exe (XMRig) implementado e muito mais.
As fortes políticas de utilização das aplicações, a principal defesa contra as aplicações infetadas por vírus
Enquanto que as aplicações falsas ou trojanizadas não são um novo vetor de ataque, campanhas furtivas como esta, que conseguem passar despercebidas durante anos, sublinham porque é de importância vital para as organizações ter políticas fortes de utilização de aplicações e aplicá-las aos empregados. As soluções de lista branca de aplicações também podem ser utilizadas em sistemas sensíveis para restringir quais as aplicações que podem ser descarregadas e instaladas de onde.