Pesquisadores de cibersegurança descobriram um ataque multiestágio complexo que utiliza iscas de phishing temáticas de fatura para entregar uma ampla gama de malware, como Venom RAT, Remcos RAT, XWorm, NanoCore RAT e um stealer que tem como alvo carteiras de criptomoedas.
As mensagens de e-mail vêm com anexos de arquivos Scalable Vector Graphics (SVG) que, ao serem clicados, ativam a sequência de infecção, disse a Fortinet FortiGuard Labs em um relatório técnico.
O modus operandi é notável pelo uso do motor de ofuscação de malware BatCloak e do ScrubCrypt para entregar o malware na forma de scripts de lote ofuscados.
BatCloak, oferecido para venda a outros atores de ameaças desde o final de 2022, tem suas fundações em outra ferramenta chamada Jlaive.
Sua característica principal é carregar um payload de próxima etapa de uma maneira que contorna os mecanismos de detecção tradicionais.
ScrubCrypt, um crypter que foi documentado pela primeira vez pela Fortinet em março de 2023 em conexão com uma campanha de cryptojacking orquestrada pelo Gang 8220, é avaliado como uma das iterações do BatCloak, segundo pesquisa da Trend Micro no ano passado.
Na campanha mais recente analisada pela firma de cibersegurança, o arquivo SVG serve como um meio para soltar um arquivo ZIP que contém um script de lote provavelmente criado usando BatCloak, que então descompacta o arquivo de lote ScrubCrypt para finalmente executar Venom RAT, mas não antes de configurar a persistência no host e tomar medidas para contornar as proteções AMSI e ETW.
Um fork do Quasar RAT, o Venom RAT permite que os atacantes assumam o controle dos sistemas comprometidos, coletam informações sensíveis e executem comandos recebidos de um servidor de comando e controle (C2).
"Embora o programa principal do Venom RAT possa parecer simples, ele mantém canais de comunicação com o servidor C2 para adquirir plugins adicionais para várias atividades", disse a pesquisadora de segurança Cara Lin.
Isso inclui Venom RAT v6.0.3 com capacidades de keylogger, NanoCore RAT, XWorm e Remcos RAT.
"Este plugin [Remcos RAT] foi distribuído do C2 do VenomRAT usando três métodos: um script VBS ofuscado chamado 'remcos.vbs', ScrubCrypt e Guloader PowerShell", acrescentou Lin.
Também entregue usando o sistema de plugins é um stealer que coleta informações sobre o sistema e exfiltra dados de pastas associadas a carteiras e aplicativos como Atomic Wallet, Electrum, Ethereum, Exodus, Jaxx Liberty (aposentado a partir de março de 2023), Zcash, Foxmail e Telegram para um servidor remoto.
"Esta análise revela um ataque sofisticado que aproveita múltiplas camadas de ofuscação e técnicas de evasão para distribuir e executar VenomRAT via ScrubCrypt", disse Lin.
"Os atacantes empregam uma variedade de métodos, incluindo e-mails de phishing com anexos maliciosos, arquivos de script ofuscados e Guloader PowerShell, para infiltrar e comprometer os sistemas das vítimas.
Além disso, o deployment de plugins através de diferentes payloads destaca a versatilidade e adaptabilidade da campanha de ataque."
Publicidade
O curso Python Básico da Solyd oferece uma rápida aproximação à linguagem Python com diversos projetos práticos. Indo do zero absoluto até a construção de suas primeiras ferramentas. Tenha também suporte e certificado gratuitos. Saiba mais...