Grupo Iraniano Tortoiseshell Lança Nova Onda de Ataques Malware IMAPLoader
26 de Outubro de 2023

O ator de ameaça iraniano conhecido como Tortoiseshell foi atribuído a uma nova onda de ataques de watering hole projetados para implantar um malware chamado IMAPLoader.

"IMAPLoader é um malware .NET que tem a capacidade de identificar sistemas vítimas usando utilitários nativos do Windows e atua como um payload," disse a PwC Threat Intelligence em uma análise na quarta-feira.

"Ele usa o e-mail como um canal de comando e controle e é capaz de executar payloads extraídas de anexos de e-mail e é executado através de novas implantações de serviço."

Ativo desde pelo menos 2018, Tortoiseshell tem um histórico de usar comprometimentos estratégicos de site como um artifício para facilitar a distribuição de malware.

Em maio deste ano, a ClearSky ligou o grupo à violação de oito sites associados a empresas de transporte, logística e serviços financeiros em Israel.

O ator de ameaça está alinhado com a Guarda Revolucionária Islâmica (IRGC) e também é monitorado pela comunidade de cibersegurança sob os nomes Crimson Sandstorm (anteriormente Curium), Imperial Kitten, TA456 e Yellow Liderc.

O último conjunto de ataques entre 2022 e 2023 envolve a incorporação de JavaScript mal-intencionado em sites legítimos comprometidos para coletar mais detalhes sobre os visitantes, incluindo sua localização, informações do dispositivo e tempo das visitas.

Essas invasões se concentraram principalmente nos setores marítimo, de transporte e logística no Mediterrâneo, em alguns casos levando à implantação do IMAPLoader como uma payload de acompanhamento, caso a vítima seja considerada um alvo de alto valor.

Diz-se que o IMAPLoader é uma substituição para um implante IMAP baseado em Python que o Tortoiseshell usou anteriormente no final de 2021 e início de 2022, devido às semelhanças na funcionalidade.

O malware atua como um carregador para payload de próxima etapa, consultando contas de e-mail IMAP codificadas em mão, especificamente verificando uma pasta de caixa de correio soletrada incorretamente como "Recive" para recuperar os executáveis dos anexos de mensagem.

Em uma cadeia de ataque alternativa, um documento falso do Microsoft Excel é usado como um vetor inicial para iniciar um processo de várias etapas para entregar e executar o IMAPLoader, indicando que o ator de ameaça está usando uma variedade de táticas e técnicas para realizar seus objetivos estratégicos.

A PwC disse que também descobriu sites de phishing criados pelo Tortoiseshell, alguns dos quais visam os setores de viagens e hospitalidade na Europa, para realizar a coleta de credenciais usando páginas falsas de login da Microsoft.

"Este ator de ameaça permanece uma ameaça ativa e persistente para muitas indústrias e países, incluindo os setores marítimo, de transporte e logística no Mediterrâneo; indústrias nuclear, de defesa e aeroespacial nos EUA e na Europa; e provedores de serviços de TI gerenciados no Oriente Médio," disse a PwC.

Publicidade

Não compre curso de Pentest

Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...