Um drible no mecanismo Mark-of-the-Web

Normalmente, quando um usuário tenta ler um documento do Office que foi enviado por e-mail ou baixado de um site, o Microsoft Office o abre no modo protegido. Ele faz isso usando Mark-of-the-Web (MOTW), um dos mecanismos de proteção padrão do Windows. Ele marca os arquivos que apareceram no seu PC a partir da internet, para que os aplicativos conheçam sua origem e possam chamar a atenção do usuário para um perigo potencial. No entanto, confiar cegamente na eficácia de tal mecanismo de aviso é provavelmente uma má ideia, pois, ultimamente, muitos invasores começaram a usar métodos para contornar o MOTW. Por exemplo, quando nossos especialistas estudaram recentemente as ferramentas do grupo BlueNoroff (que dizem ser uma parte do grupo Lazarus), descobriram que os cibercriminosos estão empregando novos truques para enganar o sistema operacional.

Como o BlueNoroff dribla o mecanismo MOTW

O mecanismo Mark-of-the-Web funciona da seguinte forma: assim que um usuário (ou programa) baixa um arquivo da rede, o sistema de arquivos NTFS fixa um atributo “from the internet” a ele. Mas esse atributo nem sempre é adquirido. Quando você baixa um ficheiro ou pasta, todos os arquivos dentro dele recebem esse atributo. No entanto, uma pasta está longe de ser a única maneira de transferir um arquivo indiretamente.

Os invasores por trás do grupo BlueNoroff começaram a experimentar a utilização de novos tipos de arquivo para entregar documentos maliciosos. Em algumas ocasiões eles usaram o formato .iso, que comumente armazena imagens de discos ópticos. A outra opção é um arquivo .vhd que geralmente contém um disco rígido virtual. Em outras palavras, eles escondem a carga real do ataque – um documento falso e um script malicioso – dentro da imagem ou unidade virtual.

Uma descrição técnica mais detalhada das ferramentas e métodos BlueNoroff atualizados, bem como indicadores de comprometimento, pode ser encontrada na publicação de nossos especialistas no blog Securelist.

Quem são BlueNoroff e o que eles estão procurando

No início deste ano, já escrevemos sobre a campanha SnatchCrypto destinada a roubar criptomoedas. Com base em vários sinais, nossos pesquisadores acreditam que é o mesmo grupo BlueNoroff que está por trás disso. A atividade observada hoje também visa principalmente a obtenção de ganhos financeiros. Na verdade, o estágio final do ataque permaneceu o mesmo – os criminosos instalam um backdoor no computador infectado.

O grupo BlueNoroff registrou muitos domínios que imitam empresas de capital de risco e de investimentos, bem como grandes bancos. A julgar pelos nomes dos bancos, bem como pelos documentos falsos usados ​​pelos invasores, eles estão interessados ​​principalmente em alvos que falam japonês. No entanto, pelo menos uma vítima do grupo foi encontrada nos Emirados Árabes Unidos. Como mostra a prática, o BlueNoroff está interessado principalmente em negócios relacionados a criptomoedas, bem como em instituições financeiras.

Como se manter protegido?

Em primeiro lugar, vale a pena abandonar a ilusão de que os mecanismos de proteção padrão incorporados ao sistema operacional são suficientes para manter sua empresa segura. O mecanismo Mark-of-the-Web não pode proteger contra um funcionário abrindo um arquivo recebido da Internet e executando um script malicioso. Para que sua empresa não seja vítima dos ataques do BlueNororff e grupos APT similares, nossos especialistas recomendam o seguinte:

• Instale soluções de seguranças atuais em todos os dispositivos de trabalho — eles vão prevenir que scripts em arquivos maliciosos sejam executados.
• Mantenha seus funcionários informados sobre as ciberameaças – o devido treinamento organizado os ajudará a não cair na isca dos invasores;
• Use soluções de segurança de classe EDR e, se necessário, utilize serviços de Resposta e Detecção Gerenciada— eles permitirão a detecção oportuna de atividades maliciosas na rede corporativa e ajudarão a interromper um ataque antes que danos reais sejam causados.