Um grupo de hackers rastreado como 'UAC-0184' foi observado utilizando arquivos de imagem esteganográfica para entregar o trojan de acesso remoto Remcos (RAT) nos sistemas de uma entidade ucraniana operando na Finlândia.
O UAC-0184 são atores de ameaça que a Trend Micro viu realizando ataques no final de 2023 contra as Forças Armadas da Ucrânia, também usando o mesmo malware.
A última atividade do grupo de ameaças, que começou no início de janeiro de 2024 e foi observada por analistas da Morphisec, mostra que eles expandiram para alvo organizações fora da Ucrânia que estão associadas ao seu alvo estratégico.
A Morphisec optou por não fornecer informações técnicas ou detalhes específicos sobre a vítima devido à confidencialidade, mas ainda compartilhou alguns dados sobre os métodos de ataque empregados.
A esteganografia é uma tática bem documentada, mas raramente vista, que envolve codificar código malicioso nos dados de pixel das imagens para evadir a detecção por soluções que usam regras baseadas em assinaturas.
Normalmente, os pequenos pedaços de payload na imagem não resultam em uma aparência de imagem alterada, mas no caso visto pela Morphisec, a imagem parece visivelmente distorcida.
Essa distorção, no entanto, só seria prejudicial para os atacantes no caso de inspeção manual, e supondo que não haja nenhuma, ainda funciona para evadir detecção de produtos de segurança automatizados.
A cadeia de ataque observada pela Morphisec começa com um email de phishing cuidadosamente elaborado supostamente da 3ª Brigada de Assalto Separada da Ucrânia ou das Forças de Defesa de Israel.
Os destinatários enganados que abriram o anexo do arquivo de atalho iniciam uma cadeia de infecção que lança um executável (DockerSystem_Gzv3.exe), que por sua vez ativa um carregador de malware modular chamado 'IDAT'.
"Distinguido por sua arquitetura modular, o IDAT emprega recursos exclusivos como injeção e execução de código, diferenciando-o de carregadores convencionais", descreve a Morphisec.
"Ele emprega técnicas sofisticadas como payload dinâmica das funções API do Windows, testes de conectividade HTTP, listas de bloqueio de processos e syscalls para evadir detecção."
Para permanecer furtivo, as chamadas de API não são escritas no código em forma de texto simples, mas são resolvidas em tempo de execução usando uma chave de descriptografia que faz parte da cadeia de ataque.
O IDAT extrai a payload codificada que está embutida no arquivo de imagem PNG malicioso e, em seguida, descriptografa e executa-o na memória, um processo que envolve várias etapas e módulos adicionais que são injetados em processos legítimos (Explorer.exe) e arquivos DLL (PLA.dll).
A etapa final envolve a descriptografia e execução do Remcos RAT, um malware comum que os hackers usam como uma backdoor nos sistemas comprometidos, permitindo o roubo de dados furtivo e o monitoramento da atividade da vítima.
A Morphisec diz que o IDAT também entrega malware como Danabot, SystemBC e RedLine Stealer, mas não está claro se essas famílias foram vistas nos computadores baseados na Finlândia ou em ataques diferentes.
A lista completa dos indicadores de comprometimento (IoC) para esta campanha pode ser encontrada neste relatório do CERT-UA.
Publicidade
Em nenhum outro momento você conseguirá pagar tão pouco em um treinamento e certificação Solyd. A Solyd não te oferece um simples curso online. Mas sim uma experiência completa de aulas com três profissionais que vivem e trabalham como um hacker 24 horas por dia, que se dedicam durante todo ano a tirar seus sonhos de criança do papel. Ter algo desse nível era impossível há apenas 10 anos atrás, e hoje conseguimos entregar o melhor programa de educação em hacking do mundo. O melhor dia para começar sempre foi HOJE. Saiba mais...