Uma nova campanha de malware que visa usuários privados, varejistas e empresas de serviços, principalmente localizados na Rússia, para distribuir o NetSupport RAT e o BurnsRAT, foi descoberta recentemente.
A campanha, batizada de Horns&Hooves pela Kaspersky, atingiu mais de 1.000 vítimas desde o seu início, em março de 2023.
O objetivo final desses ataques é aproveitar o acesso fornecido por esses trojans para instalar malware de roubo de dados, como Rhadamanthys e Meduza.
"Nos últimos meses, observamos um aumento em mensagens com anexos de e-mail simulados no formato de um arquivo ZIP contendo scripts JScript", disse o pesquisador de segurança Artem Ushkov em uma análise de segunda-feira(02).
Os arquivos de script [são] disfarçados como solicitações e propostas de clientes ou parceiros em potencial.
Os agentes de ameaças por trás das operações demonstraram o desenvolvimento ativo do payload JavaScript, fazendo mudanças significativas durante a campanha.
Em alguns casos, o arquivo ZIP continha outros documentos relacionados à organização ou indivíduo sendo personificado, a fim de aumentar a probabilidade de sucesso do ataque de phishing e enganar os destinatários a abrir o arquivo infectado por malware.
Uma das primeiras amostras identificadas como parte da campanha é um arquivo de Aplicativo HTML (HTA) que, quando executado, baixa uma imagem PNG de isca de um servidor remoto usando a utilidade curl para Windows, enquanto também recupera e executa furtivamente outro script ("bat_install.bat") de um servidor diferente usando a ferramenta de linha de comando BITSAdmin.
O script recém-baixado então prossegue para buscar, usando BITSAdmin, vários outros arquivos, incluindo o malware NetSupport RAT, que estabelece contato com um servidor de comando e controle (C2) configurado pelos atacantes.
Uma iteração subsequente da campanha, observada em meados de maio de 2023, envolveu o JavaScript intermediário imitando bibliotecas JavaScript legítimas como Next.js para ativar a cadeia de infecção do NetSupport RAT.
A Kaspersky disse que também encontrou outra variante do arquivo JavaScript que deixou cair um instalador NSIS que, então, é responsável por implantar o BurnsRAT no host comprometido.
"Embora o backdoor suporte comandos para baixar e executar arquivos remotamente, bem como vários métodos de execução de comandos via linha de comando do Windows, a principal tarefa desse componente é iniciar o Remote Manipulator System (RMS) como um serviço e enviar o ID da sessão RMS para o servidor dos atacantes", explicou Ushkov.
O RMS é uma aplicação que permite aos usuários interagir com sistemas remotos através de uma rede.
Ele fornece a capacidade de gerenciar a área de trabalho, executar comandos, transferir arquivos e trocar dados entre dispositivos localizados em diferentes locais geográficos.
Como sinal de que os agentes de ameaças continuaram a ajustar seu modus operandi, duas outras sequências de ataque observadas no final de maio e junho de 2023 vieram com um arquivo BAT completamente retrabalhado para instalar o NetSupport RAT e incorporaram o malware diretamente no código JavaScript, respectivamente.
Há indicações de que a campanha é obra de um agente de ameaça conhecido como TA569 (também conhecido como Gold Prelude, Mustard Tempest e Purple Vallhund), que é conhecido por operar o malware SocGholish (também conhecido como FakeUpdates).
Essa conexão decorre de sobreposições na licença do NetSupport RAT e nos arquivos de configuração usados nas respectivas atividades.
Vale mencionar que o TA569 também tem sido conhecido por agir como um corretor de acesso inicial para ataques de ransomware subsequentes, como o WastedLocker.
"Dependendo de em cujas mãos esse acesso cai, as consequências para as empresas vítimas podem variar desde o roubo de dados até a criptografia e danos aos sistemas", disse Ushkov.
Também observamos tentativas de instalar stealers em algumas máquinas infectadas.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...