Campanha usa Google Drive e Dropbox para espalhar malware
22 de Maio de 2024

Uma nova campanha de ataque chamada CLOUD#REVERSER foi observada aproveitando serviços legítimos de armazenamento em nuvem como Google Drive e Dropbox para posicionar payloads maliciosos.

"Os scripts VBScript e PowerShell no CLOUD#REVERSER envolvem atividades semelhantes a command-and-control ao usar Google Drive e Dropbox como plataformas de preparação para gerenciar uploads e downloads de arquivos," disse os pesquisadores da Securonix, Den Iuzvyk, Tim Peck e Oleg Kolesnikov.

Os scripts são projetados para buscar arquivos que correspondam a padrões específicos, sugerindo que estão aguardando por comandos ou scripts colocados no Google Drive ou Dropbox. O ponto de partida da cadeia de ataque é um e-mail de phishing contendo um arquivo ZIP, que contém um executável que se passa por um arquivo Microsoft Excel.

Em uma reviravolta interessante, o nome do arquivo faz uso do caractere Unicode de sobrescrita de direita para esquerda (RLO) (U+202E) para inverter a ordem dos caracteres que vêm após esse caractere na string.

Como resultado, o nome do arquivo "RFQ-101432620247fl*U+202E*xslx.exe" é exibido para a vítima como "RFQ-101432620247flexe.xlsx," enganando-a a pensar que estão abrindo um documento Excel.

O executável é projetado para liberar um total de oito cargas, incluindo um arquivo Excel isca ("20240416.xlsx") e um Script Visual Basic (VB) altamente ofuscado ("3156.vbs") que é responsável por exibir o arquivo XLSX para o usuário para manter o disfarce e lançar outros dois scripts chamados "i4703.vbs" e "i6050.vbs."

Ambos os scripts são usados para configurar a persistência no host Windows por meio de uma tarefa agendada, disfarçando-a como uma tarefa de atualização do navegador Google Chrome para evitar levantar suspeitas.

Dito isso, as tarefas agendadas são orquestradas para executar dois scripts VB únicos chamados "97468.tmp" e "68904.tmp" a cada minuto.

Cada um desses scripts, por sua vez, é usado para executar dois scripts diferentes do PowerShell "Tmp912.tmp" e "Tmp703.tmp", que são usados para conectar a uma conta Dropbox e Google Drive controlada pelo ator e baixar mais dois scripts do PowerShell referidos como "tmpdbx.ps1" e "zz.ps1" Os scripts VB são então configurados para executar os scripts do PowerShell recém-baixados e buscar mais arquivos dos serviços de nuvem, incluindo binários que poderiam ser executados dependendo das políticas do sistema.

"O script do PowerShell em estágio avançado zz.ps1 tem funcionalidade para baixar arquivos do Google Drive com base em critérios específicos e salvá-los em um caminho especificado no sistema local dentro do diretório ProgramData," disseram os pesquisadores.

O fato de ambos os scripts do PowerShell serem baixados on-the-fly significa que eles podem ser modificados pelos atores de ameaças à vontade para especificar os arquivos que podem ser baixados e executados no host comprometido.

Também baixado via 68904.tmp está outro script do PowerShell capaz de recuperar um binário comprimido e executá-lo diretamente da memória para manter uma conexão de rede com o servidor command-and-control (C2) do atacante.

A empresa de cibersegurança baseada no Texas informou que não pode fornecer informações sobre os alvos e a escala da campanha devido ao fato de que a investigação ainda está em andamento.

O desenvolvimento é mais uma vez um sinal de que os atores de ameaças estão cada vez mais explorando serviços legítimos para sua vantagem e para passar despercebidos.

"Esta abordagem segue uma linha comum onde atores de ameaças conseguem infectar e persistir em sistemas comprometidos enquanto conseguem se misturar ao ruído de rede de fundo regular," disseram os pesquisadores.

"Ao embutir scripts maliciosos dentro de plataformas de nuvem aparentemente inócuas, o malware não só garante acesso sustentado aos ambientes visados, mas também utiliza essas plataformas como conduítes para exfiltração de dados e execução de comando."

Publicidade

Pentest do Zero ao Profissional

O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...