A Proofpoint Inc, está rastreando atualmente ao menos quatro grupos diferentes de ameaças que usam atualizações falsas de navegadores de internet para distribuir malwares. Esses updates maliciosos aparecem em sites que exibem algo similar a uma notificação de browsers, como Chrome, Firefox ou Edge, informando que o software precisa ser atualizado. Ao clicar no link, o usuário não baixa uma atualização legítima, mas, sim, um malware.
“Os pesquisadores da Proofpoint identificaram um número crescente de agentes de ameaças que usam atualizações falsas de navegador para induzir as pessoas a baixar malware”, disse Dusty Miller, pesquisador de ameaças da Proofpoint. “O uso de atualizações falsas de navegador é uma ameaça interessante que combina recursos técnicos exclusivos com engenharia social para convencer as pessoas de que seu navegador está desatualizado. A falsa isca de atualização do navegador pode levar a uma variedade de malware que pode roubar dados, controlar remotamente um computador ou até mesmo levar a ransomware. O uso de atualizações falsas do browser está se tornando popular, provavelmente porque funciona. A ameaça explora o desejo de uma pessoa de proteger seu ambiente e suas informações, mas faz exatamente o oposto e expõe o indivíduo desavisado a malware.”
Com base na pesquisa da empresa, o agente de ameaça conhecido como TA569 usou atualizações falsas por mais de cinco anos para entregar o malware SocGholish, mas recentemente outros atores de ameaças têm copiado essa mesma estratégia. Cada um deles utiliza de métodos próprios para “fisgar” usuários, mas aproveitam das mesmas táticas de engenharia social. O uso de atualizações falsas é único porque se aproveita da confiança que os usuários finais depositam em seus navegadores e nos sites conhecidos que visitam.
Os agentes de ameaças que controlam as atualizações falsas usam um código injetado em JavaScript ou HTML que direciona o tráfego para um domínio que eles controlam, o que pode, potencialmente, substituir o site por uma isca de atualização específica para o navegador que a possível vítima usa. Uma carga maliciosa será baixada automaticamente ou o usuário receberá uma solicitação para baixar uma “atualização”, que instalará a carga.
Efetividade da atualização falsa dos browsers
As falsas iscas de atualização do navegador são eficazes porque os agentes da ameaça estão usando o treinamento de segurança do usuário final contra eles. No treinamento de conscientização sobre segurança, os usuários são orientados a aceitar apenas atualizações ou clicar em links de sites conhecidos e confiáveis, ou de indivíduos, e para verificar se os sites são legítimos. As atualizações falsas se aproveitam desse treinamento, pois comprometem sites confiáveis e usam solicitações feitas em JavaScript para verificar em segundo plano e substituir discretamente o site existente por um falso. Para um usuário final, ainda parece ser o mesmo site que ele pretendia visitar, mas que, agora, está solicitando que atualize seu navegador.
A Proofpoint identificou os agentes de ameaça, mas não detectou os mesmos enviando e-mails contendo links maliciosos, mas, devido à natureza da ameaça, URLs comprometidas são observadas no tráfego de e-mail de diversas maneiras. São vistos, por exemplo, no tráfego normal de e-mail por usuários finais que não têm conhecimento dos sites comprometidos, no monitoramento de e-mails, como alertas do Google, ou em campanhas de e-mail automatizadas em massa, como aquelas que distribuem boletins informativos. Isso cria um cenário em que esses e-mails são considerados maliciosos durante o tempo em que o site está comprometido.
As organizações não devem tratar as falsas ameaças de atualizações do navegador apenas como um problema de e-mail, pois os usuários podem visitar o portal a partir de outra fonte, como um mecanismo de pesquisa, redes sociais, ou simplesmente acessar direto o site, receber a isca e fazer o download.
Cada campanha filtra o tráfego de maneira diferente com o objetivo de ocultá-lo dos pesquisadores e atrasar a descoberta, mas todos os métodos são eficazes durante a filtragem. Embora isto possa reduzir a propagação de cargas maliciosas, também permite que os intervenientes mantenham o seu acesso aos sites comprometidos por períodos de tempo mais longos. Isto pode complicar a resolução, porque com as múltiplas campanhas e as cargas úteis variáveis, os respondentes devem reservar algum tempo para descobrir o que precisam procurar e identificar os indicadores de comprometimento (IOCs) relevantes no momento do download.
As campanhas
O cenário atual inclui quatro grupos de ameaças diferentes que usam campanhas exclusivas para fornecer iscas falsas de atualização de navegador. Devido à semelhança das iscas e da cadeia de ataque, alguns relatórios públicos atribuíram incorretamente a atividade ao mesmo grupo de ameaças. Com base na visibilidade diferenciada da Proofpoint, os pesquisadores conseguiram dividi-los em clusters mais granulares.
A pesquisa da Proofpoint se concentra no cenário geral de atualizações falsas de navegadores, para fornecer detalhes sobre como identificar cada campanha, assim como os links adicionais para relatórios adicionais da empresa ou de terceiros contendo pesquisas e análises aprofundadas. Por exemplo, Jérôme Segura, da Malwarebytes, reuniu um bom recurso mostrando algumas das imagens que cada campanha usa como iscas no GitHub.
Cada campanha tem algumas características gerais compartilhadas que podem ser descritas como três fases distintas da campanha. O “Estágio 1” é uma injeção maliciosa em um site legítimo, mas comprometido. “Estágio 2” refere-se ao tráfego de e para o domínio controlado pelo ator que faz a maior parte da filtragem e hospeda a isca e a carga maliciosa. “Estágio 3” é a execução da carga útil em um host após o download.
SocGholish
O SocGholish é a principal ameaça que as pessoas pensam quando falam sobre uma falsa isca de atualização de navegador e tem sido bem documentada ao longo dos anos. A Proofpoint, normalmente, atribui as campanhas SocGholish a um ator de ameaça conhecido como TA569. A companhia observou que ele atua como distribuidor para outros atores de ameaças. Atualmente, o TA569 está usando três métodos diferentes para direcionar o tráfego dos sites comprometidos no estágio 1 para seus domínios ocultos no estágio 2 por eles controlados.
O primeiro método é usar uma injeção que utiliza o sistema de distribuição de tráfego Keitaro (TDS) por meio de uma variedade de domínios controlados. Esses domínios filtrarão algumas solicitações antes de roteá-las para os destinos do estágio 2. A maioria das injeções que apontam para URLs TDS do Keitaro conterão vários domínios de redirecionamento diferentes no mesmo arquivo, conforme visto na figura 2 abaixo.
O segundo método que o TA569 usa é o Parrot TDS (também conhecido como NDSW/NDSX) para ofuscar seu código injetado e aplicar filtragem semelhante antes de rotear solicitações para os domínios do estágio 2. Sites comprometidos podem conter até 10 arquivos JavaScript maliciosos, todos com injeções de Parrot TDS que levam a cargas SocGholish. O terceiro método usado pelo TA569, é uma simples solicitação de script assíncrono de JavaScript no HTML de sites comprometidos que alcança um domínio de estágio 2.
A variedade de injeções torna difícil para os defensores identificarem a localização da injeção maliciosa e reproduzirem o tráfego devido aos vários estágios de filtragem.
Cada um desses métodos alcança um domínio de estágio 2, que faz filtragem adicional e entrega a isca falsa de atualização do navegador e a carga útil ao tráfego que passa pela filtragem. A carga útil pode ser um arquivo JavaScript simples (.js), geralmente denominado “Update .js”, ou um arquivo JavaScript compactado.
Se a carga útil for executada pelo usuário, ela primeiro reproduzirá a impressão digital do host via wscript. Dependendo dos resultados da impressão digital, o JavaScript será encerrado, carregará um trojan de acesso remoto (RAT) ou aguardará mais comandos do agente da ameaça, que foi relatado que levou ao CobaltStrike ou ao BLISTER Loader, que são diferentes tipos de malware.
A Proofpoint observou recentemente infecções SocGholish levando a AsyncRAT e NetSupport RAT como cargas úteis de RAT.
RogueRaticate/FakeSG
A segunda atualização falsa de navegador que os pesquisadores da Proofpoint identificaram é conhecida como RogueRaticate ou FakeSG. A empresa identificou esta atividade, pela primeira vez, em maio de 2023, e pesquisadores terceirizados a apelidaram de uma cópia das campanhas SocGholish existentes e de alto volume. A atividade pode ter começado em novembro de 2022. A Proofpoint não atribui a atividade RogueRaticate a um ator de ameaça rastreado neste momento, e tem sido consistentemente diferenciada de forma distinta das campanhas SocGholish.
RogueRaticate injeta código JavaScript oculto em arquivos JavaScript existentes em sites do estágio 1. O JavaScript injetado alcança um domínio de estágio 2. O domínio do estágio 2 hospeda um TDS Keitaro, que filtra solicitações indesejadas e responde com o valor “body” da resposta JSON em branco. Ao identificar um alvo para receber a isca, ele envia a isca Base64 dupla codificada no valor “body”. A isca contém um botão que, se pressionado, usa um atributo HTML href – abreviação de “Hypertext REFerence”, usado para criar uma conexão com outra página HTML – para baixar a carga de um site comprometido separado, normalmente hospedado no WordPress.
A falsa carga de atualização para as campanhas RogueRaticate sempre envolveu um arquivo HTML Application (.hta). O HTA é compactado ou baixado por meio de um arquivo de atalho (.url) que aponta para o .lnk. O arquivo .hta, normalmente, traz uma carga maliciosa do NetSupport RAT no host por meio do mesmo domínio de estágio 2 que hospedou a carga maliciosa.
ZPHP/SmartApeSG
A Proofpoint identificou, pela primeira vez, outro grupo novo de campanhas de atualização falsas que levaram ao NetSupport RAT, em junho de 2023. A atividade foi relatada publicamente, pela primeira vez, pela Trellix, em agosto de 2023. Esta atividade foi referida como ZPHP pela Proofpoint ou SmartApeSG na documentação pública. O inject é um objeto de script simples adicionado ao código HTML de um site comprometido. Ele faz uma solicitação assíncrona para “/cdn/wds .min. php” ou “/cdn-js/wds .min. php” em um domínio de estágio 2.
A resposta é um código JavaScript fortemente ofuscado que tentará criar um iframe – uma tag usada para inserir uma página HTML em outra – e fazer uma segunda solicitação para “/zwewmrqqgqnaww. php?reqtime=”, que parece filtrar solicitações indesejadas e retornar a isca de atualização do navegador para solicitações não filtradas. A carga útil é baixada por meio de um arquivo zip codificado em base64.
A carga compactada de atualização do navegador geralmente contém um arquivo JavaScript (.js) que trará uma carga maliciosa do NetSupport RAT no host. A Proofpoint também viu o .zip conter um executável (.exe) que carregou o Lumma Stealer.
ClearFake
Em agosto de 2023, pesquisadores terceirizados publicaram detalhes sobre uma falsa atividade de ameaça de atualização de navegador conhecida como ClearFake. Posteriormente, a Proofpoint identificou campanhas consistentes relacionadas, e observou uma série de mudanças no curto espaço de tempo enquanto o monitorava.
A injeção é um script codificado em base64 adicionado ao HTML da página comprometida. A Proofpoint observou a injeção apontando para uma variedade de serviços, incluindo Cloudflare Workers, um arquivo hospedado no GitHub de um ator e, mais recentemente, a rede blockchain conhecida como Binance Smart Chain.
A solicitação inicial direciona o tráfego para um domínio de estágio 2, que hospeda o serviço de filtragem Keitaro TDS para selecionar solicitações. O ator usa domínios de estágio 2 recém-registrados, que, se um visitante passar na filtragem, criam um iframe da isca de atualização falsa hospedada no domínio de estágio 2. Clicar no botão de atualização resultará no download da carga que foi observada hospedada no Dropbox e no OneDrive.
A carga observada era um executável (às vezes, compactado), .msi e .msix que leva à instalação de uma variedade de ladrões digitais, incluindo Lumma, Redline e Raccoon v2. A Proofpoint observou que o ClearFake exibe iscas de atualização falsas em determinados idiomas para corresponder ao idioma definido do navegador, incluindo francês, alemão, espanhol e português.
Conclusão
A Proofpoint observou um aumento na atividade de ameaças usando atualizações falsas de navegador para entregar uma variedade de malware, incluindo cargas úteis. SocGholish e TA569 demonstraram que comprometer sites vulneráveis para exibir atualizações falsas de navegador funciona como um método viável para a entrega de malware, e novos atores aprenderam com o TA569 e começaram a adotar também iscas à sua maneira. Esses atores podem estar usando ladrões de informações e RATs atualmente, mas também poderiam se tornar, facilmente, um meio de acesso inicial para ransomware.
A atividade detalhada neste relatório pode ser difícil de ser detectada e evitada pelas equipes de segurança, bem como pode apresentar dificuldades na comunicação da ameaça aos usuários finais devido às técnicas de engenharia social e aos comprometimentos do site usados pelo autor da ameaça. A melhor mitigação é a defesa em profundidade.
As organizações devem implementar detecções de rede – inclusive, usando o conjunto de regras de Ameaças Emergentes – e usar proteção de endpoint. Além disso, as organizações devem treinar os usuários para identificar a atividade e relatar ações suspeitas às suas equipes de segurança. Este é um treinamento muito específico, mas pode ser facilmente integrado a um programa de treinamento de usuários já existente. Uma ferramenta como o Browser Isolation da Proofpoint também pode ajudar a impedir a exploração bem-sucedida quando URLs comprometidos são recebidos por e-mail e clicados.
Os indicadores específicos de comprometimento (IOCs) associados às atividades identificadas mudam regularmente, à medida que os atores da ameaça movem rotineiramente a sua infraestrutura e alteram os detalhes das suas cargas úteis.
A conta infosec .exchange @monitorsg é um recurso público útil para acompanhar detalhes recentes sobre cargas úteis e mudanças de infraestrutura. O conjunto de regras de ameaças emergentes têm regras de domínio disponíveis para a maioria das ameaças atuais e atualiza e publica regularmente novas regras para bloquear todas as ameaças falsas em campanhas de atualização do navegador.
(LinuxSU)