Uma campanha de malvertising está aproveitando instaladores trojanizados de softwares populares, como Google Chrome e Microsoft Teams, para instalar um backdoor chamado Oyster (também conhecido como Broomstick e CleanUpLoader).
Essa é a conclusão de um estudo da Rapid7, que identificou sites falsos hospedando os payloads maliciosos para os quais os usuários são redirecionados depois de procurá-los em motores de busca como Google e Bing.
Os atores da ameaça estão atraindo usuários desavisados para websites falsos que alegam conter softwares legítimos.
Mas, a tentativa de baixar o binário de configuração da instalação dá início a uma cadeia de infecção por malware.
Especificamente, o executável serve como um caminho para um backdoor chamado Oyster, capaz de coletar informações sobre o host comprometido, comunicar-se com um endereço de comando e controle (C2) codificado e suportar a execução remota de código.
Embora o Oyster tenha sido observado anteriormente sendo entregue por meio de um componente loader dedicado, conhecido como Broomstick Loader (também conhecido como Oyster Installer), as últimas cadeias de ataque envolvem a implantação direta do backdoor.
Diz-se que o malware está associado ao ITG23, um grupo ligado à Rússia por trás do malware TrickBot.
A execução do malware é seguida pela instalação do software Microsoft Teams legítimo, numa tentativa de manter a farsa e evitar alertar as vítimas.
A Rapid7 também observou o malware sendo usado para gerar um script do PowerShell responsável por estabelecer persistência no sistema.
Essa divulgação acontece no mesmo período em que um grupo de cibercrime conhecido como Rogue Raticate (também conhecido como RATicate) foi identificado como responsável por uma campanha de phishing via email que usa iscas de PDF para incentivar usuários a clicarem em uma URL maliciosa e entregar o NetSupport RAT.
"Se um usuário é enganado com sucesso ao clicar na URL, ele será conduzido, por meio de um Sistema de Distribuição de Tráfego (TDS), pelo resto da cadeia e, ao final, terá o Remote Access Tool (RAT) NetSupport implementado em sua máquina", disse a Symantec.
Isso também coincide com o surgimento de uma nova plataforma de phishing-as-a-service (PhaaS) chamada ONNX Store, que permite aos clientes orquestrar campanhas de phishing usando códigos QR embutidos em anexos PDF que levam as vítimas a páginas de coleta de credenciais.
ONNX Store, que também oferece hospedagem à prova de balas e serviços RDP por meio de um bot no Telegram, é considerada uma versão rebranding do kit de phishing Caffeine, que foi documentado pela primeira vez pela Mandiant, de propriedade do Google, em outubro de 2022, com o serviço mantido por um ator de ameaças de língua árabe chamado MRxC0DER.
Além de usar os mecanismos anti-bot da Cloudflare para evitar a detecção por scanners de sites de phishing, as URLs distribuídas via campanhas de quishing vêm embutidas com JavaScript criptografado, que é decodificado durante o carregamento da página para coletar metadados da rede das vítimas e interceptar tokens de 2FA.
"A ONNX Store possui um mecanismo de bypass de autenticação de dois fatores (2FA) que intercepta solicitações [de autenticação de dois fatores] das vítimas", disse o pesquisador da EclecticIQ, Arda Büyükkaya.
As páginas de phishing parecem reais interfaces de login da Microsoft 365, enganando os alvos a inserirem seus detalhes de autenticação.
Publicidade
O curso Python Básico da Solyd oferece uma rápida aproximação à linguagem Python com diversos projetos práticos. Indo do zero absoluto até a construção de suas primeiras ferramentas. Tenha também suporte e certificado gratuitos. Saiba mais...