Campanhas de spam usam mensagens que apontam para arquivos em .zip e .gz. O truque é convencer a vítima a clicar em links maliciosos. O domínio onde os payloads são alojados é o storage[.]googleapis[.]com, associado ao serviço de armazenamento na cloud da google. O payload armazenado pertence às famílias de malware Houdini e QRAT.
Estes payloads têm a capacidade de ultrapassar os mecanismos de segurança nas organizações alvo.
Os links são preferíveis em vez de anexos maliciosos, por causa do uso combinado do email e da web para infetar as vítimas, já que muitas soluções de antivírus são capazes de detetar anexos maliciosos apenas quando incluídos numa blacklist.
Dois tipos de payloads usados:
- Scripts em VBS: fortemente ofuscados, criados provavelmente por algum construtor encontrado no submundo do cibercrime. Três scripts foram analisados como pertencendo à família de malware Houdini. O código era altamente escondido em três níveis e depois codificado em Base64. Usavam o mesmo domínio de comando e controlo (pm2bitcoin[.]com e um secundário (fud[.]fudcrypt[.] com.
- Ficheiros JAR: ficheiros dos quais se faz o download no último nível de ofuscação do script em VBS, onde se encontra a string “<[ recoder : houdini (c) skype : houdini-fx ]>”
Mais informações:
https://www.menlosecurity.com/blog/a-jar-full-of-problems-for-financial-services-companies