Um malware políglota, até então não documentado, está sendo utilizado em ataques contra organizações de aviação, comunicação via satélite e transporte crítico nos Emirados Árabes Unidos.
O malware instala um backdoor denominado Sosano, que garante persistência nos dispositivos infectados e permite que os atacantes executem comandos remotamente.
A atividade foi descoberta pela Proofpoint em outubro de 2024, a qual afirma que os ataques estão vinculados a um ator de ameaças denominado 'UNK_CraftyCamel'.
Embora a campanha ainda seja pequena, os pesquisadores relatam que ela é avançada e perigosa para as empresas visadas.
Os pesquisadores da Proofpoint observaram que os ataques têm semelhanças com operações de grupos alinhados ao Irã, TA451 e TA455.
No entanto, a campanha mais recente é distinta, tendo um forte foco em ciberespionagem.
Malwares políglotas consistem em arquivos especialmente criados que contêm múltiplos formatos de arquivo, permitindo que sejam interpretados de maneira diferente por diversas aplicações.
Por exemplo, um único arquivo pode ser estruturado tanto como um MSI válido (instalador Windows) quanto um JAR (arquivo Java), fazendo com que o Windows o reconheça como um MSI, enquanto o runtime do Java o interpreta como um JAR.
Essa técnica permite que os atacantes entreguem payloads maliciosos de maneira furtiva, evadindo softwares de segurança, que geralmente analisam arquivos baseando-se em um único formato.
Na nova campanha observada pela Proofpoint, o ataque começa com um e-mail de spear-phishing altamente direcionado enviado de uma empresa indiana de eletrônicos comprometida (INDIC Electronics).
Esses e-mails contêm URLs maliciosas que direcionam as vítimas para um domínio falsificado (indicelectronics[.]net), onde são instigadas a baixar um arquivo ZIP ("OrderList.zip").
O arquivo contém um LNK (atalho do Windows) disfarçado de XLS, bem como dois arquivos PDF ("about-indic.pdf" e "electronica-2024.pdf").
Ambos os PDFs são arquivos políglotas contendo uma estrutura legítima de PDF, mas com uma estrutura de arquivo malicioso adicional.
O primeiro PDF contém código HTA (HTML Application), enquanto o outro inclui um arquivo ZIP oculto.
O principal benefício do uso de políglotas é a evasão, já que a maioria das ferramentas de segurança inspecionará o primeiro formato de arquivo (PDF), que é um documento benigno, e ignorará completamente a porção maliciosa oculta (payloads HTA/ZIP).
Ao executar o arquivo LNK, cmd.exe inicia mshta.exe, que executa o script HTA oculto dentro do primeiro PDF, desencadeando a execução do segundo arquivo PDF.
O arquivo oculto no segundo PDF escreve um arquivo de URL no Registro do Windows para persistência e executa um arquivo JPEG codificado XOR que decodifica um payload DLL ("yourdllfinal.dll"), que é o backdoor Sosano.
A Proofpoint afirma que Sosano é um payload útil baseado em Go relativamente simples com funcionalidade limitada, que provavelmente foi aumentada para 12MB de tamanho para obfuscar as pequenas quantidades de código malicioso que utiliza.
Uma vez ativado, Sosano estabelece uma conexão com seu servidor de comando e controle (C2) em "bokhoreshonline[.]com" e aguarda comandos, incluindo operações de arquivo, execução de comandos shell e busca e lançamento de payloads adicionais.
Defender-se contra ameaças políglotas requer uma abordagem multifacetada que combina varredura de e-mails, educação do usuário e software de segurança capaz de detectar múltiplos formatos de arquivo em um único arquivo.
Se não forem necessários nas operações diárias, bloquear tipos de arquivo perigosos como LNKs, HTAs e ZIPs no gateway de e-mail é prudente.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...