Um grupo de ameaças com motivação financeira, chamado UNC4990, que utiliza dispositivos USB para infecção inicial, foi rastreado pela empresa de segurança cibernética Mandiant explorando plataformas online legítimas, como GitHub, Vimeo e Ars Technica, com o objetivo de hospedar payloads codificadas incorporadas a conteúdos aparentemente benignos.
A Mandiant tem rastreado o UNC4990 desde 2020, com foco primordialmente nos usuários na Itália.
Os hackers escondem essas payloads colocando-as em perfis de usuários de fóruns em sites de notícias sobre tecnologia ou em descrições de vídeos em plataformas de hospedagem de mídia.
Essas payloads não representam ameaças para os usuários que visitam essas páginas da web, pois são apenas sequências de texto.
Entretanto, quando inseridas na cadeia de ataques do grupo, são capazes de baixar e executar malware.
O ataque começa com as vítimas clicando duas vezes em um arquivo de atalho LNK malicioso em uma unidade USB.
Não se sabe como os dispositivos USB infectados chegam até as vítimas para iniciar a cadeia de ataques.
Quando o atalho é acionado, ele executa um script do PowerShell explorer.ps1 que, por sua vez, baixa uma payload intermediária que decodifica para um URL usado para baixar e instalar o baixador de malware chamado EMPTYSPACE.
Essas payloads intermediárias são sequências de texto que são decodificadas em uma URL para baixar a próxima payload, o EMPTYSPACE.
Nas fases posteriores do ataque, o EMPTYSPACE baixa uma backdoor chamada QUIETBOARD, assim como mineradores de criptomoedas que exploram Monero, Ethereum, Dogecoin e Bitcoin.
Os endereços de carteira ligados a esta campanha obtiveram um lucro que ultrapassa US$ 55 mil, sem levar em consideração o Monero, que está oculto.
A QUIETBOARD é uma backdoor sofisticada e multicomponente utilizada pelo UNC4990 por oferecer uma ampla variedade de recursos.
O UNC4990 tentou várias abordagens para hospedar payload intermediárias, inicialmente usando arquivos de texto codificados no GitHub e GitLab e depois mudando para explorar o Vimeo e o Ars Technica para hospedar payload de string codificadas em Base64 e criptografadas em AES.
A Mandiant observa que os invasores não exploram uma vulnerabilidade nesses sites, mas simplesmente utilizam recursos regulares do site, como uma página em um perfil de fórum da Ars Technica ou uma descrição de vídeo do Vimeo, para hospedar secretamente a payload ofuscada sem levantar suspeitas.
A estratégia de hospedar as payloads em plataformas legítimas é que elas contam com a confiança dos sistemas de segurança, reduzindo a probabilidade de serem sinalizadas como suspeitas.
Além disso, os operadores da ameaça se beneficiam das robustas redes de distribuição de conteúdos dessas plataformas e possuem resiliência a remoções.
De acordo com a Mandiant, apesar das medidas de prevenção aparentemente simples, o malware baseado em USB continua a representar uma ameaça significativa e a servir os cibercriminosos como um meio eficaz de propagação.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...