Ciberataques sofisticados
19 de Junho de 2024

Atores de ameaça estão atraindo usuários desavisados com versões gratuitas ou piratas de softwares comerciais para entregar um malware loader denominado Hijack Loader, que então implementa um ladrão de informações conhecido como Vidar Stealer.

"Os adversários conseguiram enganar os usuários para baixar arquivos de arquivo protegidos por senha contendo cópias trojanizadas de um aplicativo da Cisco Webex Meetings (ptService.exe)", disse o pesquisador de segurança da Trellix, Ale Houspanossian, em uma análise de segunda-feira.

Quando vítimas desavisadas extraíram e executaram um arquivo binário 'Setup.exe', o aplicativo Cisco Webex Meetings carregou secretamente um stealthy malware loader, que levou à execução de um módulo de roubo de informações.

O ponto de partida é um arquivo de arquivo RAR que contém um nome executável "Setup.exe", mas na realidade é uma cópia do módulo ptService da Cisco Webex Meetings.

O que torna a campanha notável é o uso de técnicas de DLL side-loading para lançar de maneira furtiva o Hijack Loader (também conhecido como DOILoader ou IDAT Loader), que então age como um conduto para liberar o Vidar Stealer por meio de um script AutoIt.

"O malware emprega uma técnica conhecida para burlar o Controle de Conta de Usuário (UAC) e explorar a interface COM do CMSTPLUA para escalada de privilégios," disse Houspanossian.

Uma vez que a escalada de privilégio teve sucesso, o malware adicionou-se à lista de exclusões do Windows Defender para evasão de defesa.

A cadeia de ataque, além de usar o Vidar Stealer para sifonar credenciais sensíveis de navegadores da web, utiliza payloads adicionais para implantar um minerador de criptomoedas no host comprometido.

A divulgação segue um pico em campanhas ClearFake que atraem visitantes do site para executarem manualmente um script PowerShell para tratar de um suposto problema com a visualização de páginas da web, uma técnica previamente divulgada pela ReliaQuest no final do mês passado.

O script PowerShell então serve como uma plataforma de lançamento para o Hijack Loader, que finalmente entrega o malware Lumma Stealer.

O ladrão também está equipado para baixar mais três payloads, incluindo o Amadey Loader, um downloader que inicia o minerador XMRig, e um malware clipper para redirecionar transações de cripto para carteiras controladas pelos atacantes.

"O Amadey foi observado baixando outros payloads, por exemplo um malware baseado em Go acreditado ser o JaskaGO," disseram os pesquisadores da Proofpoint Tommy Madjar, Dusty Miller e Selena Larson.

A empresa de segurança empresarial disse também ter detectado em meados de abril de 2024 outro cluster de atividade apelidado de ClickFix que empregou iscas de atualização de navegador defeituosas para visitantes de sites comprometidos a fim de propagar o Vidar Stealer usando um mecanismo similar envolvendo copiar e rodar código PowerShell.

Outro atuador de ameaça que adotou a mesma tática de engenharia social em suas campanhas de malspam é o TA571, que foi observado enviando e-mails com anexos HTML que, quando abertos, exibem uma mensagem de erro: "A extensão 'Word Online' não está instalada em seu navegador." A mensagem também apresenta duas opções, "Como consertar" e "Conserto automático".

Se uma vítima seleciona a primeira opção, um comando PowerShell codificado em Base64 é copiado para a área de transferência do computador seguido de instruções para lançar um terminal PowerShell e clicar com o botão direito na janela do console para colar o conteúdo da área de transferência e executar o código responsável por rodar um instalador MSI ou um Script Visual Basic (VBS).

Da mesma forma, os usuários que acabam selecionando a opção "Conserto automático" visualizam arquivos hospedados em WebDAV denominados "fix.msi" ou "fix.vbs" no Windows Explorer aproveitando-se do manipulador de protocolo "search-ms:".

Independentemente da opção escolhida, a execução do arquivo MSI culmina na instalação do Matanbuchus, enquanto a execução do arquivo VBS leva à implantação do DarkGate.

Outras variantes da campanha também resultaram na distribuição do NetSupport RAT, sublinhando as tentativas de modificar e atualizar as iscas e as cadeias de ataques apesar do fato de que elas requerem interação significativa por parte do usuário para serem bem-sucedidas.

"O uso legítimo, e as muitas maneiras de armazenar o código malicioso, e o fato de que a vítima executa manualmente o código malicioso sem qualquer associação direta com um arquivo, tornam a detecção para esses tipos de ameaças difícil," disse a Proofpoint.

Como os softwares antivírus e os EDRs terão problemas para inspecionar o conteúdo da área de transferência, a detecção e o bloqueio precisam estar em vigor antes de o HTML/sítio malicioso ser apresentado à vítima.

O desenvolvimento também vem à medida que a eSentire divulgou uma campanha de malware que se aproveita de sites parecidos impostando a Indeed[.]com para soltar o malware de roubo de informações SolarMarker através de um documento-isca que pretende oferecer ideias para construção de equipe.

"O SolarMarker utiliza técnicas de envenenamento de otimização de motor de busca (SEO) para manipular os resultados dos motores de busca e aumentar a visibilidade de links enganosos," disse a empresa canadense de cibersegurança.

O uso pelos atacantes de táticas de SEO para direcionar os usuários para sites maliciosos sublinha a importância de ter cautela ao clicar em resultados de motores de busca, mesmo que pareçam legítimos.

Publicidade

Pentest do Zero ao Profissional

O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...