Hackers começam a usar dupla DLL sideloading para evitar detecção
4 de Maio de 2023

Um grupo de hackers conhecido como "Dragon Breath", "Golden Eye Dog" ou "APT-Q-27" está demonstrando uma nova tendência de usar várias variações complexas da clássica técnica de "DLL sideloading" para evitar detecção.

Essas variações de ataque começam com um vetor inicial que utiliza um aplicativo limpo, na maioria das vezes o Telegram, que carrega um payload de segundo estágio, às vezes também limpa, que por sua vez carrega um DLL de malware malicioso.

O atrativo para as vítimas são aplicativos Trojanizados do Telegram, LetsVPN ou WhatsApp para Android, iOS ou Windows que supostamente foram localizados para pessoas na China.

Acredita-se que os aplicativos Trojanizados sejam promovidos usando BlackSEO ou malvertising.

De acordo com os analistas da Sophos que acompanharam os ataques recentes do grupo, o escopo de direcionamento desta campanha é focado em usuários de Windows que falam chinês na China, Japão, Taiwan, Singapura, Hong Kong e Filipinas.

A "DLL sideloading" é uma técnica explorada por atacantes desde 2010, aproveitando a maneira insegura como o Windows carrega os arquivos DLL (Biblioteca de Vínculo Dinâmico) necessários para um aplicativo.

O atacante coloca um DLL malicioso com o mesmo nome do DLL legítimo necessário no diretório do aplicativo.

Quando o usuário abre o executável, o Windows prioriza o DLL malicioso local em relação ao que está nos diretórios do sistema.

O DLL do atacante contém código malicioso que carrega nesta fase, dando ao atacante privilégios ou executando comandos no host explorando o aplicativo confiável assinado que está carregando-o.

Nesta campanha, as vítimas executam o instalador dos aplicativos mencionados, que coloca componentes no sistema e cria um atalho na área de trabalho e uma entrada de inicialização do sistema.

Se a vítima tentar iniciar o atalho recém-criado na área de trabalho, que é o primeiro passo esperado, em vez de iniciar o aplicativo, o seguinte comando é executado no sistema.

O comando executa uma versão renomeada de 'regsvr32.exe' ('appR.exe') para executar uma versão renomeada de 'scrobj.dll' ('appR.dll') e fornece um arquivo DAT ('appR.dat') como entrada para ele.

O DAT contém código JavaScript para execução pela biblioteca de execução de script ('appR.dll').

O código JavaScript inicia a interface do usuário do aplicativo Telegram em primeiro plano enquanto instala vários componentes de "sideloading" em segundo plano.

Em seguida, o instalador carrega um aplicativo de segundo estágio usando uma dependência limpa ('libexpat.dll') para carregar um segundo aplicativo limpo como um estágio intermediário de ataque.

Em uma variação do ataque, o aplicativo limpo "XLGame.exe" é renomeado para "Application.exe" e o carregador de segundo estágio também é um executável limpo, assinado pela Beijing Baidu Netcom Science and Technology Co., Ltd.

Em outra variação, o carregador limpo de segundo estágio é "KingdomTwoCrowns.exe", que não é assinado digitalmente, e a Sophos não conseguiu determinar qual vantagem ele oferece além de obfuscando a cadeia de execução.

Em uma terceira variação do ataque, o carregador de segundo estágio é o executável limpo "d3dim9.exe", assinado digitalmente pela HP Inc.

Essa técnica de "DLL sideloading" duplo alcança evasão, obfuscamento e persistência, tornando mais difícil para os defensores ajustar padrões de ataque específicos e proteger efetivamente suas redes.

Em todas as variações de ataque observadas, o DLL de payload final é descriptografado de um arquivo txt ('templateX.txt') e executado no sistema.

Este payload é um backdoor que suporta vários comandos, como reinicialização do sistema, modificação de chave de registro, busca de arquivos, roubo de conteúdo da área de transferência, execução de comandos em uma janela CMD oculta e muito mais.

O backdoor também tem como alvo a extensão do Chrome da carteira de criptomoedas MetaMask, visando roubar ativos digitais das vítimas.

Em resumo, a "DLL sideloading" continua sendo um método de ataque eficaz para hackers e um que a Microsoft e os desenvolvedores não conseguiram resolver há mais de uma década.

No último ataque do APT-Q-27, os analistas observaram variações de "DLL sideloading" que são desafiadoras de rastrear; portanto, alcançam uma cadeia de infecção mais furtiva.

Publicidade

Pentest do Zero ao Profissional

O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...