Funcionários do governo tailandês emergiram como alvos de uma nova campanha que utiliza uma técnica chamada DLL side-loading para entregar uma backdoor anteriormente não documentada, apelidada de Yokai.
"O alvo dos atores da ameaça eram oficiais da Tailândia, baseado na natureza das iscas," disse Nikhil Hegde, engenheiro sênior da equipe de Eficácia de Segurança da Netskope.
A backdoor Yokai em si não é limitada e pode ser usada contra qualquer alvo potencial.
O ponto de partida da cadeia de ataque é um arquivo RAR contendo dois atalhos do Windows nomeados em tailandês que se traduzem para "Departamento de Justiça dos Estados Unidos.pdf" e "Governo dos Estados Unidos solicita cooperação internacional em assuntos criminais.docx".
O vetor inicial exato usado para entregar o payload atualmente não é conhecido, embora Hegde tenha especulado que provavelmente seria spear-phishing devido às iscas empregadas e ao fato de que arquivos RAR têm sido usados como anexos maliciosos em e-mails de phishing.
Iniciar os arquivos de atalho causa a abertura de um PDF de distração e um documento do Microsoft Word, respectivamente, enquanto também solta um executável malicioso de forma furtiva no background.
Ambos os arquivos de isca estão relacionados a Woravit Mektrakarn, um cidadão tailandês que é procurado nos EUA em conexão com o desaparecimento de um imigrante mexicano.
Mektrakarn foi acusado de assassinato em 2003 e diz-se que fugiu para a Tailândia.
O executável, por sua vez, é projetado para soltar mais três arquivos: um binário legítimo associado ao aplicativo iTop Data Recovery ("IdrInit.exe"), um DLL malicioso ("ProductStatistics3.dll") e um arquivo DATA contendo informações enviadas por um servidor controlado pelo atacante.
Na próxima etapa, "IdrInit.exe" é abusado para sideload o DLL, levando finalmente à implantação da backdoor.
Yokai é responsável por estabelecer persistência no host e conectar-se ao servidor de comando e controle (C2) para receber códigos de comando que permitem gerar cmd.exe e executar comandos shell no host.
Este desenvolvimento acontece enquanto a Zscaler ThreatLabz revelou que descobriu uma campanha de malware utilizando executáveis compilados Node.js para o Windows para distribuir mineradores de criptomoeda e ladrões de informações como XMRig, Lumma e Phemedrone Stealer.
Os aplicativos maliciosos foram apelidados de NodeLoader.
Os ataques empregam links maliciosos embutidos em descrições de vídeos no YouTube, levando os usuários a MediaFire ou websites falsos que os instigam a baixar um arquivo ZIP disfarçado de hacks para videogames.
O objetivo final dos ataques é extrair e executar o NodeLoader, que, por sua vez, baixa um script PowerShell responsável por lançar o malware de estágio final.
"NodeLoader usa um módulo chamado sudo-prompt, uma ferramenta pública disponível no GitHub e npm, para escalada de privilégios," disse a Zscaler.
"Os atores da ameaça empregam engenharia social e técnicas de anti-evasão para entregar o NodeLoader sem ser detectado." Isso também segue um aumento nos ataques de phishing distribuindo o RAT comercialmente disponível Remcos, com atores da ameaça dando uma reformulação nas cadeias de infecção ao empregar scripts de Visual Basic Script (VBS) e documentos Office Open XML como um ponto de partida para desencadear o processo de múltiplos estágios.
Em um conjunto de ataques, a execução do arquivo VBS leva a um script PowerShell altamente ofuscado que baixa payloads intermediários, resultando finalmente na injeção do RAT Remcos em RegAsm.exe, um executável legítimo da Microsoft .NET.
A outra variante envolve usar um documento Office Open XML para carregar um arquivo RTF que é suscetível ao
CVE-2017-11882
, uma falha conhecida de execução remota de código no Microsoft Equation Editor, para buscar um arquivo VBS que posteriormente procede a buscar PowerShell a fim de injetar o payload do Remcos na memória do RegAsm.exe.
Vale ressaltar que ambos os métodos evitam deixar arquivos escritos no disco e os carregam em processos válidos numa tentativa deliberada de evadir detecção por produtos de segurança.
"À medida que este trojan de acesso remoto continua a mirar consumidores por meio de e-mails de phishing e anexos maliciosos, a necessidade de medidas de cibersegurança proativas nunca foi tão crítica," disseram pesquisadores do McAfee Labs.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...