Diversas organizações industriais na região da Ásia-Pacífico (APAC) foram alvo de ataques de phishing projetados para entregar um malware conhecido como FatalRAT.
"A ameaça foi orquestrada por atacantes usando a legítima rede chinesa de entrega de conteúdo em nuvem (CDN) myqcloud e o serviço de Notas em Nuvem da Youdao como parte de sua infraestrutura de ataque," disse a Kaspersky ICS CERT em um relatório de segunda-feira(24).
Os atacantes empregaram um sofisticado quadro de entrega de payload útil em múltiplas etapas para garantir a evasão da detecção.
A atividade destacou agências governamentais e organizações industriais, particularmente nos setores de manufatura, construção, tecnologia da informação, telecomunicações, saúde, energia e logística e transporte em larga escala, em Taiwan, Malásia, China, Japão, Tailândia, Coreia do Sul, Singapura, Filipinas, Vietnã e Hong Kong.
Os anexos iscas usados nas mensagens de e-mail sugerem que a campanha de phishing foi projetada para mirar em indivíduos que falam chinês.
É importante notar que campanhas anteriores do FatalRAT também exploraram anúncios falsos do Google Ads como um vetor de distribuição.
Em setembro de 2023, a Proofpoint documentou outra campanha de phishing por e-mail que propagou várias famílias de malware como FatalRAT, Gh0st RAT, Purple Fox e ValleyRAT.
Um aspecto interessante de ambos os conjuntos de intrusão é que eles visaram principalmente falantes da língua chinesa e organizações japonesas.
Algumas dessas atividades foram atribuídas a um ator de ameaça rastreado como Silver Fox APT.
O ponto de partida da cadeia de ataque mais recente é um e-mail de phishing contendo um arquivo ZIP com um nome de arquivo em chinês, que, ao ser lançado, inicia o carregador de primeira fase que, por sua vez, faz uma solicitação ao Youdao Cloud Notes para recuperar um arquivo DLL e um configurador FatalRAT.
Por sua vez, o módulo configurador baixa o conteúdo de outra nota de note.youdao[.]com para acessar as informações de configuração.
Ele também é projetado para abrir um arquivo isca numa tentativa de evitar suspeitas.
O DLL, por outro lado, é um carregador de segunda fase responsável por baixar e instalar o payload útil do FatalRAT de um servidor ("myqcloud[.]com") especificado na configuração, ao mesmo tempo em que exibe uma mensagem de erro falsa sobre um problema ao executar a aplicação.
Um marco importante da campanha inclui o uso de técnicas de side-loading de DLL para avançar na sequência de infecção em múltiplas etapas e carregar o malware FatalRAT.
"O ator da ameaça usa um método preto e branco onde o ator tira proveito da funcionalidade de binários legítimos para fazer a cadeia de eventos parecer uma atividade normal," disse a Kaspersky.
"Os atacantes também usaram uma técnica de side-loading de DLL para esconder a persistência do malware na memória do processo legítimo." "FatalRAT realiza 17 verificações para um indicador de que o malware executa em uma máquina virtual ou ambiente sandbox.
Se qualquer uma das verificações falhar, o malware para de executar." Ele também termina todas as instâncias do processo rundll32.exe, e coleta informações sobre o sistema e as várias soluções de segurança instaladas nele, antes de aguardar mais instruções de um servidor de comando e controle (C2).
FatalRAT é um trojan repleto de recursos que está equipado para registrar keystrokes, corromper o Master Boot Record (MBR), ligar/desligar a tela, procurar e deletar dados de usuário em navegadores como Google Chrome e Internet Explorer, baixar software adicional como AnyDesk e UltraViewer, realizar operações de arquivo e iniciar/parar um proxy e terminar processos arbitrários.
Atualmente, não se sabe quem está por trás dos ataques usando FatalRAT, embora as sobreposições táticas e de instrumentação com outras campanhas sugerem que "todos refletem diferentes séries de ataques que estão de alguma forma relacionados." A Kaspersky avaliou com confiança média que um ator de ameaça de língua chinesa está por trás dele.
"A funcionalidade do FatalRAT dá a um atacante quase possibilidades ilimitadas para desenvolver um ataque: espalhar-se pela rede, instalar ferramentas de administração remota, manipular dispositivos, roubar e deletar informações confidenciais," disseram os pesquisadores.
O uso consistente de serviços e interfaces em chinês em várias etapas do ataque, bem como outras evidências indiretas, indica que um ator de língua chinesa pode estar envolvido.
Publicidade
Mantenha seus dados longe de hackers e ameaças digitais com a NordVPN, uma das mais rápidas e seguras do mundo. Com tecnologia de criptografia avançada, você protege até 10 dispositivos e ainda conta com recursos poderosos como bloqueio de malware, monitoramento da dark web e backup criptografado. Aproveite até 70% de desconto e experimente com garantia de reembolso de 30 dias. Segurança digital nunca foi tão fácil e eficiente. Saiba mais...