O fornecedor sul-coreano de VPN IPany foi violado em um ataque à cadeia de fornecimento pelo grupo de hackers alinhado à China, "PlushDaemon", que comprometeu o instalador da VPN da empresa para implantar o malware personalizado 'SlowStepper'.
Os hackers conseguiram infiltrar-se na plataforma de desenvolvimento da IPany e inserir seu backdoor personalizado 'SlowStepper' no seu instalador ('IPanyVPNsetup.exe'), que infectou os sistemas dos clientes quando a VPN foi instalada.
De acordo com pesquisadores da ESET, que descobriram o ataque à cadeia de fornecimento, as empresas impactadas pelo ataque incluem uma firma de semicondutores sul-coreana e uma empresa de desenvolvimento de software.
No entanto, os primeiros sinais de vítimas infectadas remontam a novembro de 2023 no Japão.
Os clientes da IPany se tornam infectados após baixarem o instalador ZIP do programa ('IPanyVPNsetup.zip') do site da empresa.
Uma vez executado o instalador, ele instala o produto VPN legítimo, bem como arquivos maliciosos ('svcghost.exe'), para o qual uma chave Run é adicionada no Registro para persistência.
O payload SlowStepper é carregado de um arquivo de imagem ('winlogin.gif') através de uma DLL maliciosa ('lregdll.dll') que é carregado lateralmente em um processo 'PerfWatson.exe'.
O executável svcghost monitora o processo para garantir que ele esteja sempre em execução.
A ESET diz que a versão particular do SlowStepper usada nesses ataques é a 0.2.10 Lite, que não é tão completa quanto a versão padrão, mas pode ser mais furtiva devido à sua menor pegada e ainda é uma ferramenta potente.
"Ambas as versões, completa e Lite, fazem uso de uma matriz de ferramentas programadas em Python e Go, que incluem capacidades para coleta extensiva de dados e espionagem por meio da gravação de áudio e vídeos", explica a ESET.
Os comandos mais importantes suportados pelo SlowStepper são:
0x32 – Coleta uma variedade de detalhes do sistema, incluindo marca da CPU, números de série do HDD, computador e hostname, endereço IP público, processos em execução, aplicações instaladas, interfaces de rede, memória do sistema, status da webcam e do microfone, e se o OS está sendo executado em uma máquina virtual.
0x5A – Busca e executa arquivos do servidor C&C, permitindo a instalação de payloads adicionais.
0x3F – Enumera arquivos e diretórios no sistema comprometido.
0x38 – Executa ferramentas de espionagem baseadas em Python projetadas para várias funções de espionagem, como roubo de dados do navegador, keylogging e coleta de credenciais.
0x3A – (Ativação do modo Shell) Permite a execução direta de comandos do sistema, fornecendo aos atacantes um ambiente interativo para controlar a máquina comprometida.
0x39 – Deleta arquivos ou diretórios específicos, que podem ser usados para apagar traços do malware ou interromper a funcionalidade do sistema.
pycall <module_name> – Carrega e executa módulos específicos de spyware Python, como "Browser" para roubar dados do navegador, "WeChat, Telegram, DingTalk" para extrair registros de chat, "ScreenRecord" para capturar atividade de tela, "Camera" para tirar fotos usando a webcam, e "CollectInfo" para escanear o disco em busca de documentos sensíveis.
Os pesquisadores entraram em contato com o fornecedor da VPN para informá-lo sobre o comprometimento, e o instalador malicioso foi removido do site.
No entanto, aqueles que já estão infectados precisam tomar medidas para limpar seus sistemas.
A ESET sublinha que a página de download não apresentava mecanismos de geo-fencing ou quaisquer outras ferramentas para indicar um direcionamento específico, portanto, qualquer pessoa que baixou o IPanyVPN de novembro de 2023 (e possivelmente antes) até maio de 2024 foi infectada pelo SlowStepper.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...