Campanha de Malware mira Windows, Android e macOS
13 de Junho de 2024

Atuantes com vínculos ao Paquistão estão associados a uma extensa campanha de malware denominada Operação Celestial Force desde pelo menos 2018.

Essa atividade, que ainda está em curso, envolve o uso de um malware para Android chamado GravityRAT e um loader de malware para Windows conhecido como HeavyLift, segundo a Cisco Talos, que são administrados por outra ferramenta autônoma denominada GravityAdmin.

A equipe de cibersegurança atribuiu a invasão a um adversário rastreado sob o codinome Cosmic Leopard (também conhecido como SpaceCobra), que, segundo eles, apresenta algum grau de sobreposição tática com Transparent Tribe.

"A Operação Celestial Force está ativa desde pelo menos 2018 e continua atuando hoje — utilizando cada vez mais um conjunto de malwares em expansão e evolução — indicando que a operação provavelmente obteve um alto grau de sucesso mirando usuários no subcontinente indiano", disseram os pesquisadores de segurança Asheer Malhotra e Vitor Ventura em um relatório técnico compartilhado com The Hacker News.

GravityRAT veio à luz pela primeira vez em 2018 como um malware para Windows mirando entidades indianas por meio de e-mails de spear-phishing, ostentando um conjunto sempre em evolução de recursos para colher informações sensíveis de hosts comprometidos.

Desde então, o malware foi adaptado para funcionar em sistemas operacionais Android e macOS, transformando-o em uma ferramenta multiplataforma.

Descobertas subsequentes da Meta e da ESET no último ano revelaram o uso contínuo da versão Android do GravityRAT para mirar pessoal militar na Índia e entre a Força Aérea do Paquistão, mascarando-o como apps de armazenamento em nuvem, entretenimento e chat.

As descobertas da Cisco Talos unem todas essas atividades dispersas, mas relacionadas, sob um mesmo guarda-chuva, impulsionadas por evidências que apontam para o uso do GravityAdmin pelo ator de ameaça para orquestrar esses ataques.

Cosmic Leopard tem sido predominantemente observado empregando spear-phishing e engenharia social para estabelecer confiança com alvos em potencial, antes de enviar a eles um link para um site malicioso que instrui o download de um programa aparentemente inofensivo que instala o GravityRAT ou HeavyLift, dependendo do sistema operacional utilizado.

Diz-se que o GravityRAT foi usado pela primeira vez já em 2016.

GravityAdmin, por outro lado, é um binário usado para comandar sistemas infectados desde pelo menos agosto de 2021, estabelecendo conexões com os servidores de comando e controle (C2) de GravityRAT e HeavyLift.

"GravityAdmin consiste em múltiplas Interfaces de Usuário (UIs) embutidas que correspondem a campanhas específicas e codinomeadas operadas por operadores maliciosos," observaram os pesquisadores.

Por exemplo, 'FOXTROT', 'CLOUDINFINITY' e 'CHATICO' são nomes dados a todas as infecções baseadas em Android do GravityRAT, enquanto 'CRAFTWITHME', 'SEXYBER' e 'CVSCOUT' são nomes para ataques que implementam o HeavyLift.

O componente recém-descoberto no arsenal do ator de ameaça é o HeavyLift, uma família de loaders de malware baseada em Electron distribuída via instaladores maliciosos mirando o sistema operacional Windows.

Ele também tem semelhanças com as versões Electron do GravityRAT documentadas anteriormente pela Kaspersky em 2020.

O malware, uma vez lançado, é capaz de coletar e exportar metadados do sistema para um servidor C2 codificado, seguindo isso, periodicamente sondando o servidor por quaisquer novos payloads a serem executadas no sistema.

Além disso, foi projetado para realizar funções semelhantes no macOS também.

"Esta operação de múltiplos anos continuamente mirou em entidades e indivíduos indianos provavelmente pertencentes às áreas de defesa, governo e espaços relacionados à tecnologia," disseram os pesquisadores.

Publicidade

Pentest do Zero ao Profissional

O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...