Uma nova campanha de phishing, codinome MULTI#STORM, mira a Índia e os Estados Unidos, utilizando arquivos JavaScript para fornecer cavalos de Troia de acesso remoto em sistemas comprometidos.
"O ataque termina com a máquina da vítima infectada com várias instâncias de malwares RAT (cavalo de Troia de acesso remoto) únicas, como Warzone RAT e Quasar RAT", disseram os pesquisadores da Securonix Den Iuzvyk, Tim Peck e Oleg Kolesnikov.
"Ambos são usados para comando e controle em diferentes estágios da cadeia de infecção."
A cadeia de ataque em várias etapas começa quando o destinatário de um e-mail clica no link embutido apontando para um arquivo ZIP protegido por senha ("REQUEST.zip") hospedado na Microsoft OneDrive com a senha "12345".
Extraindo o arquivo de arquivo revela um arquivo JavaScript altamente ofuscado ("REQUEST.js") que, quando clicado duas vezes, ativa a infecção executando dois comandos PowerShell responsáveis por recuperar dois payloads separados do OneDrive e executá-los.
O primeiro dos dois arquivos é um documento PDF falso que é exibido para a vítima, enquanto o segundo arquivo, um executável baseado em Python, é executado furtivamente em segundo plano.
O binário age como um dropped para extrair e executar o payload principal embalado dentro dele na forma de cadeias codificadas em Base64 ("Storm.exe"), mas não antes de configurar a persistência via modificação do Registro do Windows.
Também decodificado pelo binário está um segundo arquivo ZIP ("files.zip") que contém quatro arquivos diferentes, cada um projetado para contornar o Controle de Conta de Usuário (UAC) e escalar privilégios criando diretórios confiáveis falsos.
Entre os arquivos está um arquivo em lote ("check.bat") que a Securonix disse compartilhar várias semelhanças com outro carregador chamado DBatLoader, apesar da diferença na linguagem de programação usada.
Um segundo arquivo chamado "KDECO.bat" executa um comando PowerShell para instruir o Microsoft Defender a adicionar uma regra de exclusão de antivírus para ignorar o diretório "C:\Users".
O ataque culmina com a implantação do Warzone RAT (também conhecido como Ave Maria), um malware pronto para uso que está disponível para venda por US$ 38 por mês e vem com uma lista exaustiva de recursos para coletar dados sensíveis e baixar malwares adicionais, como Quasar RAT.
"É importante permanecer extra vigilante quando se trata de e-mails de phishing, especialmente quando um senso de urgência é enfatizado", disseram os pesquisadores.
"Esta isca em particular era geralmente sem importância, pois exigiria que o usuário executasse diretamente um arquivo JavaScript.
Arquivos de atalho, ou arquivos usando extensões duplas, provavelmente teriam uma taxa de sucesso maior."
Publicidade
Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...