Sumário
Grandes eventos esportivos, como a Copa do Mundo ou as Olimpíadas, geralmente são alvos de cibercriminosos que se aproveitam da sua popularidade. Durante a Copa do Mundo de 2018, por exemplo, um documento infectado disfarçado de "previsão de jogo" entregou um malware que roubava dados confidenciais de suas vítimas, incluindo keystrokes e capturas de tela.
Uma nova ameaça de malware surgiu pouco antes da cerimônia de abertura dos Jogos Olímpicos de Tóquio 2020, capaz de danificar um sistema infectado ao fazer o wipe dos arquivos. Neste caso, o malware se disfarça como um documento PDF contendo informações sobre ataques cibernéticos associados às Olimpíadas de Tóquio. O componente wiper exclui documentos criados com o Ichitaro, um processador de texto popular no Japão. Este wiper é muito mais simples do que o “Olympic Destroyer”, usado nos Jogos Olímpicos de Inverno de 2018.
Ameaça
O arquivo foi distribuído com o nome 【至急】東京オリンピック開催に伴うサイバー攻撃等発生に関する被害報告について”, que pode ser traduzido como “[Urgente] Relatórios de danos relativos à ocorrência de ataques cibernéticos, etc. associados às Olimpíadas de Tóquio”.
O arquivo está compactado com UPX e foi aparentemente compilado em “2021” às “22:52:05” e, embora esta informação não possa ser 100% confiável, esta data é apenas um dia antes de sua primeira aparição pública.
O desenvolvedor incluiu muitas técnicas de anti-análise e anti-depuração. O primeiro é um truque simples que detecta se o arquivo está sendo executado em uma sandbox usando as APIs GetTickCount64
e Sleep
.
Primeiro, o malware obtém o carimbo de data/hora atual com o GetTicketCount64
e depois fica inativo por 16 segundos. Em seguida, ele ativa o GetTicketCount64
novamente e verifica quanto tempo o código realmente demorou na função Sleep
. Se o tempo for inferior a 16 segundos, o malware é encerrado, pois é provável que a função Sleep
tenha sido ignorada por um ambiente de sandbox.
Se o ambiente de sandbox não foi detectado neste ponto, o malware verifica se há ferramentas de análise listando todos os processos em execução no sistema operacional comparando com ferramentas conhecidas, como “wireshark.exe
” ou “idaq64.exe
”.
As strings relacionadas a esses processos são todas criptografadas dentro do binário e podem ser facilmente descriptografadas usando uma operação bitwise:
Usando a mesma lógica, criamos um script para extrair e descriptografar todas as strings automaticamente, revelando um comportamento importante do malware:
Outra técnica interessante usada por esse malware para verificar se está sendo depurado é a verificação de pontos de interrupção. ara quem n