Ativistas da oposição em Belarus, bem como organizações militares e governamentais ucranianas, são o alvo de uma nova campanha que utiliza documentos do Microsoft Excel com malware como iscas para entregar uma nova variante do PicassoLoader.
O conjunto de ameaças foi avaliado como uma extensão de uma campanha de longa data montada por um ator de ameaças alinhado a Belarus apelidado de Ghostwriter (também conhecido como Moonscape, TA445, UAC-0057 e UNC1151) desde 2016.
É conhecido por alinhar-se com os interesses de segurança russos e promover narrativas críticas à OTAN.
"A campanha estava em preparação desde julho-agosto de 2024 e entrou na fase ativa em novembro-dezembro de 2024", disse Tom Hegel, pesquisador da SentinelOne, em um relatório técnico compartilhado.
Amostras recentes de malware e atividade de infraestrutura de comando e controle (C2) indicam que a operação permanece ativa nos últimos dias.
O ponto de partida da cadeia de ataque analisada pela empresa de cibersegurança é um documento compartilhado no Google Drive originado de uma conta nomeada Vladimir Nikiforech e hospedava um arquivo RAR.
O arquivo RAT inclui uma planilha Excel maliciosa, que, ao ser aberta, desencadeia a execução de uma macro ofuscada quando as vítimas em potencial habilitam a execução de macros.
A macro procede para escrever um arquivo DLL que, em última análise, abre caminho para uma versão simplificada do PicassoLoader.
Na próxima fase, um arquivo Excel fictício é exibido para a vítima, enquanto, em segundo plano, payloads adicionais são baixados no sistema.
Até junho de 2024, essa abordagem foi usada para entregar o framework de pós-exploração Cobalt Strike.
SentinelOne disse que também descobriu outros documentos Excel armados com iscas temáticas da Ucrânia para recuperar um malware de segundo estágio desconhecido de uma URL remota ("sciencealert[.]shop") na forma de uma imagem JPG aparentemente inofensiva, uma técnica conhecida como esteganografia.
As URLs não estão mais disponíveis.
Em outro caso, o documento Excel armadilhado é usado para entregar uma DLL chamada LibCMD, que é projetada para executar cmd.exe e conectar-se a stdin/stdout.
É carregado diretamente na memória como uma assembly .NET e executado.
"Ao longo de 2024, Ghostwriter usou repetidamente uma combinação de workbooks do Excel contendo macros VBA ofuscadas por Macropack e downloaders embutidos .NET ofuscados com ConfuserEx", disse Hegel.
Embora Belarus não participe ativamente das campanhas militares na guerra na Ucrânia, parece que os atores de ameaças cibernéticas associados não têm reservas sobre a condução de operações de espionagem cibernética contra alvos ucranianos.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...