A Microsoft está alertando sobre uma campanha maliciosa em andamento que utiliza Node.js para entregar payloads maliciosos capazes de roubar informações e executar exfiltração de dados.
A atividade, detectada pela primeira vez em outubro de 2024, utiliza iscas relacionadas à negociação de criptomoedas para enganar os usuários, induzindo-os a instalar um instalador falso de sites fraudulentos que se passam por softwares legítimos como Binance ou TradingView.
O instalador baixado vem embutido com uma biblioteca de vínculo dinâmico ("CustomActions.dll") responsável por coletar informações básicas do sistema usando o Windows Management Instrumentation (WMI) e configurar a persistência no hospedeiro através de uma tarefa agendada.
Na tentativa de manter a farsa, a DLL lança uma janela do navegador via "msedge_proxy.exe" que exibe o site legítimo de negociação de criptomoedas.
Vale ressaltar que "msedge_proxy.exe" pode ser usado para exibir qualquer site como uma aplicação web.
A tarefa agendada, por sua vez, é configurada para executar comandos PowerShell para baixar de um servidor remoto scripts adicionais, que cuidam de excluir o processo PowerShell em execução, bem como o diretório atual de serem escaneados pelo Microsoft Defender for Endpoint como uma forma de evitar detecção.
Uma vez que as exclusões são definidas, um comando PowerShell ofuscado é executado para buscar e executar scripts de URLs remotas capazes de coletar informações extensivas relacionadas ao sistema operacional, BIOS, hardware e aplicativos instalados.
Todos os dados capturados são convertidos para o formato JSON e enviados para o servidor de comando e controle (C2) usando uma solicitação POST HTTPS.
A cadeia de ataques, então, prossegue para a próxima fase, onde outro script PowerShell é lançado para baixar um arquivo de arquivo do C2 que contém o binário de tempo de execução do Node.js e um arquivo JavaScript compilado (JSC).
O executável do Node.js inicia a execução do arquivo JSC, que estabelece conexões de rede e possivelmente sifona informações sensíveis do navegador.
Em uma sequência alternativa de infecção observada pela Microsoft, a estratégia ClickFix foi empregada para habilitar a execução de JavaScript inline, usando um comando PowerShell malicioso para baixar o binário do Node.js e usá-lo para executar código JavaScript diretamente, em vez de a partir de um arquivo.
O JavaScript inline realiza atividades de descoberta de rede para identificar ativos de alto valor, disfarça o tráfego do C2 como atividade Cloudflare legítima para passar despercebido e ganha persistência modificando as chaves de execução do Registro do Windows.
"Node.js é um ambiente de tempo de execução JavaScript de código aberto e multiplataforma que permite a execução de código JavaScript fora de um navegador web," disse a gigante da tecnologia.
É amplamente usado e confiável por desenvolvedores porque permite que eles construam aplicações frontend e backend." "No entanto, atores de ameaças também estão explorando essas características do Node.js para tentar misturar malware com aplicações legítimas, burlar controles de segurança convencionais e persistir em ambientes-alvo.
A divulgação ocorre enquanto a CloudSEK revelou que um site falso de conversão de PDF para DOCX, se passando por PDF Candy (candyxpdf[.]com ou candyconverterpdf[.]com), foi descoberto aproveitando o truque de engenharia social ClickFix para persuadir vítimas a executar comandos PowerShell codificados que, finalmente, implantam o malware SectopRAT (também conhecido como ArechClient2).
"Os atores de ameaças replicaram meticulosamente a interface do usuário da plataforma genuína e registraram nomes de domínio com aparência similar para enganar os usuários," disse o pesquisador de segurança Varun Ajmera em um relatório publicado esta semana.
O vetor de ataque envolve enganar as vítimas para executar um comando PowerShell que instala o malware Arechclient2, uma variante da perigosa família de ladrões de informações SectopRAT conhecida por colher dados sensíveis de sistemas comprometidos.
Campanhas de phishing também foram observadas usando um kit baseado em PHP para mirar em funcionários de empresas com golpes temáticos de recursos humanos (RH) para obter acesso não autorizado a portais de folha de pagamento e mudar as informações bancárias das vítimas para redirecionar fundos para uma conta sob controle do ator de ameaças.
Algumas dessas atividades foram atribuídas a um grupo de hackers chamado Payroll Pirates, com os atacantes utilizando campanhas maliciosas de publicidade em buscas com sites de phishing patrocinados e páginas de RH falsificadas via Google para atrair vítimas desavisadas a fornecer suas credenciais e códigos de autenticação de dois fatores (2FA).
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...