Documentos falsos do Microsoft Word usados para entregar malware baseado em Nim
25 de Dezembro de 2023

Uma nova campanha de phishing está usando documentos falsos do Microsoft Word como isca para entregar um backdoor escrito na linguagem de programação Nim.

"Malware escrito em linguagens de programação pouco comuns coloca a comunidade de segurança em desvantagem, pois a falta de familiaridade dos pesquisadores e engenheiros reversos pode prejudicar sua investigação", disseram os pesquisadores da Netskope, Ghanashyam Satpathy e Jan Michael Alcantara.

Malware baseado em Nim tem sido uma raridade na paisagem de ameaças, embora isso tenha vindo a mudar lentamente nos últimos anos à medida que os atacantes continuam a desenvolver ferramentas personalizadas do zero usando a linguagem ou a portar versões existentes de seus programas nefastos para ela.

Isso tem sido demonstrado no caso de loaders como NimzaLoader, Nimbda, IceXLoader, além de famílias de ransomware rastreadas sob os nomes Dark Power e Kanti.

A cadeia de ataque documentada pela Netskope começa com um e-mail de phishing contendo um anexo de documento do Word que, quando aberto, instiga o destinatário a ativar macros para iniciar a implantação do malware Nim.

O remetente do e-mail se disfarça como um funcionário do governo nepalês.

Uma vez lançado, o implante é responsável por enumerar os processos em execução para determinar a existência de ferramentas de análise conhecidas no host infectado e encerrar prontamente a si mesmo caso encontre uma.

Caso contrário, o backdoor estabelece conexões com um servidor remoto que imita um domínio governamental do Nepal, incluindo o Centro Nacional de Tecnologia da Informação (NITC) e aguarda mais instruções.

Os servidores de comando e controle (C2) não estão mais acessíveis -

mail[.]mofa[.]govnp[.]org
nitc[.]govnp[.]org
mx1[.]nepal[.]govnp[.]org
dns[.]govnp[.]org

"Nim é uma linguagem de programação compilada estaticamente tipada", disseram os pesquisadores.

"Além de sua sintaxe familiar, seus recursos de compilação cruzada permitem que os atacantes escrevam uma variante de malware e tenham-na compilada cruzadamente para diferentes plataformas."

A divulgação ocorre enquanto a Cyble revelou uma campanha de engenharia social que usa mensagens em plataformas de mídia social para entregar um novo malware baseado em Python chamado Editbot Stealer, projetado para colher e exfiltrar dados valiosos através de um canal Telegram controlado pelo ator.

Mesmo enquanto os atores de ameaças estão experimentando novas cepas de malware, campanhas de phishing também têm sido observadas distribuindo malware conhecido como DarkGate e NetSupport RAT via e-mail e sites comprometidos com iscas de atualização falsas (aka RogueRaticate), particularmente aqueles de um cluster apelidado de BattleRoyal.

A empresa de segurança empresarial Proofpoint disse que identificou pelo menos 20 campanhas que usaram o malware DarkGate entre setembro e novembro de 2023, antes de mudar para o NetSupport RAT no início deste mês.

Uma sequência de ataque identificada no início de outubro de 2023 se destaca particularmente por encadear dois sistemas de entrega de tráfego (TDSs) - 404 TDS e Keitaro TDS - para filtrar e redirecionar vítimas que atendem aos seus critérios para um domínio operado por um ator que hospeda uma carga útil que explorou o CVE-2023-36025 (pontuação CVSS: 8.8), uma vulnerabilidade de segurança de alta gravidade do Windows SmartScreen que foi corrigida pela Microsoft em novembro de 2023.

Isso implica que a BattleRoyal armou essa vulnerabilidade como um zero-day um mês antes de ser revelada publicamente pela gigante de tecnologia.

DarkGate é projetado para roubar informações e baixar cargas úteis de malware adicionais, enquanto NetSupport RAT, que começou como uma ferramenta legítima de administração remota, metamorfoseou-se em uma arma potente usada por atores malévolos para infiltrar sistemas e estabelecer controle remoto irrestrito.

"Atores de ameaças cibernéticas [estão] adotando novas, variadas e cada vez mais criativas cadeias de ataque - inclusive usando várias ferramentas TDS - para permitir a entrega de malware", disse a Proofpoint.

"Além disso, o uso de iscas de email e atualização falsas mostra o ator usando vários tipos de técnicas de engenharia social na tentativa de fazer os usuários instalar a carga útil final."

DarkGate também foi usado por outros atores de ameaça como TA571 e TA577, ambos conhecidos por disseminar uma variedade de malware, incluindo AsyncRAT, NetSupport, IcedID, PikaBot e QakBot (aka Qbot).

"TA577, por exemplo, um dos distribuidores Qbot mais proeminentes, voltou aos dados de ameaças por e-mail em setembro para entregar o malware DarkGate e tem sido observado desde então entregando o PikaBot em campanhas que tipicamente têm dezenas de milhares de mensagens", disse Selena Larson, analista sênior de inteligência de ameaças na Proofpoint, ao The Hacker News.

Publicidade

Não compre curso de Pentest

Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...