Atuantes maliciosos estão provavelmente utilizando uma ferramenta destinada a exercícios de red team para distribuir malware, de acordo com novas descobertas da Cisco Talos.
O programa em questão é um framework de geração de payloads chamado MacroPack, que é usado para gerar documentos do Office, scripts em Visual Basic, atalhos do Windows e outros formatos para testes de penetração e avaliações de engenharia social.
Foi desenvolvido pelo desenvolvedor francês Emeric Nasi.
A empresa de cibersegurança disse que encontrou artefatos carregados no VirusTotal vindos da China, Paquistão, Rússia e EUA, que foram todos gerados pelo MacroPack e usados para entregar vários payloads, como Havoc, Brute Ratel e uma nova variante do PhantomCore, um trojan de acesso remoto (RAT) atribuído a um grupo hacktivista chamado Head Mare.
"Um aspecto comum em todos os documentos maliciosos que dissecamos e que chamou nossa atenção é a existência de quatro sub-rotinas VBA não maliciosas," disse o pesquisador da Talos, Vanja Svajcer.
Essas sub-rotinas apareceram em todas as amostras e não estavam ofuscadas.
Elas também nunca foram usadas por qualquer outra sub-rotina maliciosa ou em qualquer outro lugar nos documentos.
Um aspecto importante a ser notado aqui é que os temas iscas abrangendo esses documentos variam, indo de tópicos genéricos que instruem os usuários a habilitarem macros a documentos oficiais que aparentam vir de organizações militares.
Isso sugere o envolvimento de atores de ameaças distintos.
Alguns dos documentos também foram observados aproveitando recursos avançados oferecidos como parte do MacroPack para contornar detecções heurísticas anti-malware ao ocultar a funcionalidade maliciosa usando cadeias Markov para criar funções e nomes de variáveis aparentemente significativos.
As cadeias de ataque, observadas entre maio e julho de 2024, seguem um processo de três etapas que envolve o envio de um documento do Office armadilhado contendo código VBA do MacroPack, que depois decodifica um payload da próxima etapa para finalmente buscar e executar o malware final.
O desenvolvimento é um sinal de que os atores de ameaças estão constantemente atualizando táticas em resposta a interrupções e adotando abordagens mais sofisticadas para execução de código.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...