O laboratório regional da Trend Micro detectou uma tentativa de ataque no Brasil que utilizava o Dropbox como hospedagem da carga viral.
O malware utilizou também uma técnica de infecção fora do convencional, batizada de New Domain, que passou a ser bastante usada atualmente para evasão de tecnologias baseadas em reputação de URLs.
Para funcionar, o Cavalo de Troia batizado de Banload utilizou como um ponto de entrada uma URL que, na época, não possuía nenhum malware hospedado. O ponto que chamou a atenção foi o redirecionamento para uma URL maliciosa no Brasil que encaminhava o usuário a um download de um arquivo ZIP hospedado no DropBox. O uso de URLs de redirecionamento e/ou originadas em encurtadores como exemplo: bit.ly, ow.ly, go.gl é uma técnica bastante utilizada para evasão de tecnologias tradicionais.
A técnica é uma tentativa de burlar regras geralmente existentes em sistemas de segurança para e-mail, onde o atacante envia um endereço que direciona o usuário ao download do arquivo malicioso. O atacante usa de velhas táticas de engenharia social para fazer com que as vítimas cliquem no link enviado e sejam infectadas: o assunto do e-mail nesse ataque era “Segue o comprovante de depósito”.
Pelo rastreamento na base de inteligência da Trend Micro, foi constatado que o User-Agent utilizado na comunicação tem o mesmo nome de um grupo de atacantes brasileiro relacionado a possíveis ataques direcionados.
O Banload tem outras características que o destacam dos demais trojans, como técnicas de evasão de análise em Sandbox, onde o malware consegue detectar se sua execução está ocorrendo em um ambiente real ou simulado; e download de módulos externos, em que módulos adicionais são baixados para realizar as funções para a captura das teclas, permitindo o roubo de senhas bancárias da vítima.
A Trend Micro já informou ao DropBox, que um grupo de atacantes estava utilizando seus serviços para hospedar um malware e o link foi retirado do ar.
