Campanha sofisticada de Phishing implementando Agent Tesla, OriginBotnet e RedLine Clipper
12 de Setembro de 2023

Uma sofisticada campanha de phishing está usando um documento do Microsoft Word para distribuir uma tríade de ameaças, nomeadamente Agent Tesla, OriginBotnet e OriginBotnet, para coletar uma ampla gama de informações de máquinas Windows comprometidas.

"Um e-mail de phishing entrega o documento do Word como anexo, apresentando uma imagem propositalmente borrada e um reCAPTCHA falso para atrair o destinatário a clicar nele," disse a pesquisadora do Fortinet FortiGuard Labs, Cara Lin.

Clicar na imagem leva à entrega de um carregador de um servidor remoto que, por sua vez, é projetado para distribuir o OriginBotnet para registro de teclas e recuperação de senha, RedLine Clipper para roubo de criptomoedas e Agent Tesla para colher informações sensíveis.

O carregador escrito em .NET emprega uma técnica chamada de "padding binário", adicionando bytes nulos para aumentar o tamanho do arquivo para 400 MB na tentativa de evitar a detecção por softwares de segurança.

A ativação do loader desencadeia um processo em várias etapas para estabelecer persistência no host e extrair uma biblioteca de ligação dinâmica (DLL) que é responsável por liberar os payloads

Um deles é o RedLine Clipper, um executável .NET para roubar criptomoedas ao adulterar a área de transferência do sistema do usuário substituindo o endereço da carteira destino por um controlado pelo atacante.

"Para realizar essa operação, o RedLine Clipper utiliza o 'OnClipboardChangeEventHandler' para monitorar regularmente as mudanças na área de transferência e verificar se a string copiada está de acordo com a expressão regular," disse Lin.

O Agent Tesla, por outro lado, é um cavalo de troia de acesso remoto (RAT) baseado em .NET e um ladrão de dados para obter acesso inicial e exfiltrar informações sensíveis, como sequências de teclas e credenciais de login usadas em navegadores da web para um servidor de comando e controle (C2) via protocolo SMTP.

Também é entregue um novo malware chamado OriginBotnet, que possui uma ampla gama de recursos para coletar dados, estabelecer comunicações com seu servidor C2 e baixar plugins complementares do servidor para executar funções de registro de teclas ou recuperação de senha em pontos de extremidade comprometidos.

O plugin PasswordRecovery recupera e organiza as credenciais de várias contas de navegador e software," disse Lin.

"Ele registra esses resultados e os relata via solicitações HTTP POST."

Vale a pena notar que a Unit 42 da Palo Alto Networks, em setembro de 2022, detalhou um sucessor do Agent Tesla chamado OriginLogger, que vem com recursos semelhantes aos do OriginBotnet, sugerindo que ambos podem ser o trabalho do mesmo ator de ameaça.

"Cyberataque envolveu uma cadeia complexa de eventos", disse Fortinet.

"Começou com a distribuição maliciosa de um documento do Word via e-mails de phishing, levando as vítimas a baixar um carregador que executou uma série de payloads de malware.

O ataque demonstrou técnicas sofisticadas para evitar detecção e manter a persistência em sistemas comprometidos."

Publicidade

Aprenda hacking e pentest na prática com esse curso gratuito

Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...