Malware Intelligence

A campanha de malware Shang-Chi: Sua cópia pirata do sucesso de bilheteria de verão está cheia de um RAT?

October 12, 2021

min

Tabela de conteúdo

Exemplo H2

Uma campanha recente está espalhando malware incorporado em cópias piratas de sucessos de bilheteria populares de verão, como Shang-Chi e a Lenda dos Dez Anéis. Os agentes de ameaças têm enviado malwares incorporados em filmes pirateados que estão facilmente disponíveis nas redes Torrent. Nessas campanhas, arquivos de filme corrompidos induzem os usuários a executar um programa em lote que baixa um CODEC compatível para o arquivo de vídeo.

Em alguns casos, o arquivo de vídeo é interrompido durante o tempo de reprodução e solicita que o usuário execute o programa em lote fornecido para instalar os CODECS ausentes. Em outros casos, o arquivo baixado inclui um arquivo README instruindo o usuário a executar o mesmo arquivo em lotes. O malware dropper se disfarça como um arquivo.srt (um tipo de arquivo legítimo que contém legendas do arquivo de vídeo, que neste caso é um arquivo dropper codificado em hexadecimal escrito em C ++ [-1-]).

Screenshot of the files downloaded along with the corrupted movie — Captura de tela dos arquivos baixados junto com o filme corrompido

Na captura de tela acima, o arquivo de legenda chamado '75095_vts.srt ' contém a carga codificada e o arquivo chamado 'Codec Ultra XviD Setup.bat ' contém o programa em lote do carregador do malware.

Análise técnica

O arquivo de programa em lote do carregador tem duas partes:

1. Elevação do UAC: O segmento de código abaixo é responsável por executar o programa em lotes como administrador, ignorando o UAC do Windows. O código exato está disponível no stack overflow. [-2-]

Screenshot of the code responsible for running the batch program as administrator — Captura de tela do código responsável pela execução do programa em lote como administrador

O segmento de código fornecido abaixo faz parte do mesmo programa em lote, no entanto, ele é executado com privilégios de administrador após a elevação do privilégio. Em seguida, ele executa 2 comandos do Powershell para excluir os tipos de arquivo: '.exe' e '.srt' do monitoramento de segurança

Screenshot of the code running the batch program within admin privileges — Captura de tela do código que executa o programa em lote com privilégios de administrador

O comando 'ping' é usado como um mecanismo de sono.

2. Implantação de malware: A entrega final da carga útil é por meio do aplicativo 'certutil' no Windows. O Certutil tem sido usado pelos adversários como uma tática de “viver fora da terra” para implantar aceleradores e carregadores de malware.

O programa em lote decodifica a carga codificada em hexadecimal com a extensão.srt para outro arquivo.srt, que pode ser executado após a decodificação. O comando usado para decodificação é:

certutil -decodehexadecimal -f 75095_vts.srt 75095_vts_tmp.srt

Properties of the decoded executable file — Propriedades do arquivo executável decodificado

Finalmente, o programa em lote inicia o malware executando o arquivo.exe decodificado usando o seguinte comando: iniciar 75095_VTS_TMP.srt

A carga executável final pode ser facilmente detectada por mais de 60 fornecedores de segurança.

Screenshot displaying the detection of the payload by 61 security vendors — Captura de tela mostrando a detecção da carga por 61 fornecedores de segurança

Análise detalhada

Nossa análise revelou que:

A carga útil final mostra as características de um RAT (Trojan de Acesso Remoto) muito genérico.
Excrementos: Os arquivos são enviados para C:\Users\SYM\AppData\Local\Route0\ diretório. E entre os arquivos descartados estão dois arquivos executáveis: route.exe e zroute.exe.
Persistência: O malware modifica o registro da máquina vítima para ter persistência no sistema, adicionando o valor “11f86284” à seguinte chave:
Computador\ HKEY_CURRENT_USER\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run Assim, o valor-chave aponta para o arquivo route.exe no diretório C:\Users\SYM\AppData\Local\Route0\ sobrevivendo assim, e o sistema é reiniciado.

Captura de tela exibindo o valor alterado da chave

Histórico da campanha

Uma rápida pesquisa no Google sobre os nomes dos arquivos vinculados a esta campanha revela uma infinidade de domínios que hospedam os mesmos arquivos maliciosos com nomes semelhantes. Como esses domínios têm classificações de página altas, eles aparecem no topo dos resultados de pesquisa do Google. Isso não é uma coincidência, mas sim uma estratégia desonesta para os agentes de ameaças enganarem usuários desavisados para que acessem domínios infectados e baixem arquivos corrompidos.

Os invasores atacam sites executados em CMSs (sistemas de gerenciamento de conteúdo) comuns e populares e, em seguida, assumem o controle do aplicativo para hospedar seus arquivos infectados. Em redes peer-to-peer, como a Torrent, não é incomum ver filmes piratas usados como isca para atrair usuários a baixar arquivos infectados.

Os arquivos torrent maliciosos são hospedados em domínios comprometidos com alto SEO e classificações de página. Os invasores exploram títulos de filmes populares e populares para vinculá-los a arquivos que nem mesmo são arquivos de filme válidos, como um arquivo de vídeo corrompido que, quando reproduzido, exibe uma caixa de erro e força o usuário a executar um script malicioso, incluído no filme pirateado, para resolver o problema do CODEC ausente.

Fontes que hospedam arquivos maliciosos