Um grupo suspeito de ligação estatal foi associado à distribuição de um novo malware chamado Airstalk, possivelmente parte de um ataque à cadeia de suprimentos.
A Unit 42, equipe de pesquisa em segurança da Palo Alto Networks, acompanha esse grupo identificado pelo codinome CL-STA-1009 — onde "CL" indica cluster e "STA" reflete uma motivação governamental.
Segundo os pesquisadores Kristopher Russo e Chema Garcia, o Airstalk explora a API do AirWatch para gerenciamento de dispositivos móveis (MDM), atualmente conhecido como Workspace ONE Unified Endpoint Management.
O malware utiliza essa API para criar um canal oculto de comando e controle (C2), aproveitando funcionalidades do AirWatch para gerenciar atributos personalizados dos dispositivos e realizar upload de arquivos.
Existem variantes do Airstalk em PowerShell e .NET, que usam um protocolo de comunicação C2 multi-threaded.
Dentre suas capacidades, destacam-se a captura de screenshots e a coleta de cookies, históricos de navegação e favoritos dos navegadores.
Alguns artefatos são assinados com certificados provavelmente roubados.
A versão em .NET apresenta mais recursos que a variante PowerShell, indicando possível evolução do malware.
Enquanto o PowerShell utiliza o endpoint "/api/mdm/devices/" para comunicação C2 — originalmente criado para obter detalhes dos dispositivos —, o malware abusa dos atributos personalizados dessa API para armazenar informações e trocar dados com os atacantes.
Após a execução, a backdoor inicia o contato enviando a mensagem "CONNECT" e aguarda a resposta "CONNECTED" do servidor.
Em seguida, recebe comandos do tipo "ACTIONS" para serem executados na máquina comprometida, retornando os resultados em mensagens "RESULT".
O malware suporta sete ações diferentes, como capturar screenshots, coletar cookies do Google Chrome, listar perfis de usuário no Chrome, obter favoritos e histórico de navegação, enumerar arquivos no diretório do usuário e até mesmo se auto desinstalar.
Para envio de grandes volumes de dados, o Airstalk utiliza o recurso de blobs da API AirWatch MDM para realizar uploads disfarçados.
A variante .NET amplia as capacidades ao focar também nos navegadores Microsoft Edge e Island — este último voltado para ambientes corporativos — e tenta se passar pelo utilitário "AirwatchHelper.exe".
Essa versão ainda adiciona novos tipos de mensagem, como:
- MISMATCH: para detectar erros de versão
- DEBUG: para envio de mensagens de depuração
- PING: para checagem periódica do servidor C2
Opera com três threads distintas, cada uma destinada a gerenciar tarefas C2, exfiltrar logs de depuração e enviar beacons para o servidor.
Além disso, conta com um conjunto maior de comandos, embora um deles, "RunUtility", ainda não esteja implementado.
Um ponto curioso é que, enquanto a variante PowerShell usa uma tarefa agendada para persistência, a versão .NET não emprega esse método.
Algumas amostras em .NET foram assinadas com um certificado “provavelmente roubado” emitido pela autoridade válida Aoteng Industrial Automation (Langfang) Co., Ltd.
As primeiras compilações datam de 28 de junho de 2024.
Ainda não está claro como o malware é distribuído ou quem são as vítimas, mas o abuso das APIs MDM e o foco em navegadores corporativos como o Island indicam a possibilidade de um ataque à cadeia de suprimentos, principalmente no setor de Business Process Outsourcing (BPO).
A Unit 42 alerta que empresas de BPO têm se tornado alvos lucrativos, tanto para criminosos quanto para grupos patrocinados por estados.
Esses atacantes investem pesado não apenas para comprometer esses prestadores, mas também para manter acesso contínuo.
“As técnicas de evasão empregadas por este malware permitem que ele permaneça invisível na maioria dos ambientes, especialmente se rodar dentro do ambiente de terceiros.
Isso é especialmente perigoso para organizações que utilizam BPO, já que cookies de sessão de navegador roubados podem oferecer acesso a um grande volume de clientes”, ressaltam os pesquisadores.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...