Hackers da APT Winter Vivern usam varreduras falsas de antivírus para instalar malware
16 de Março de 2023

Um grupo avançado de hackers chamado 'Winter Vivern' tem como alvo organizações governamentais europeias e provedores de serviços de telecomunicações para realizar espionagem.

As atividades do grupo estão alinhadas com os interesses dos governos russo e bielorrusso, sendo assim, acredita-se que seja um grupo APT (ameaça persistente avançada) pró-russo.

A Sentinel Labs relata que o grupo de ameaças funciona com recursos limitados; no entanto, sua criatividade compensa essas limitações.

Winter Vivern foi documentado pela primeira vez pela DomainTools em 2021, quando foram vistos como alvo de organizações governamentais na Lituânia, Eslováquia, Vaticano e Índia.
Em campanhas mais recentes observadas pela Sentinel Labs, os hackers visam indivíduos que trabalham nos governos da Polônia, Itália, Ucrânia e Índia.

Além de alvos estatais de alto perfil, os hackers também visaram empresas de telecomunicações, como aquelas que apoiam a Ucrânia desde a invasão russa.

A partir do início de 2023, os hackers criaram páginas da web que imitavam as do Bureau Central de Combate ao Cibercrime da Polônia, do Ministério das Relações Exteriores da Ucrânia e do Serviço de Segurança da Ucrânia.

Esses sites distribuem arquivos maliciosos para visitantes que acabam lá clicando em links em e-mails maliciosos.

Anteriormente, a Sentinel Labs identificou arquivos de planilha (XLS) com macros maliciosas que lançam o PowerShell sendo deixados em sites clonados usados pelo APT.
Implantando simuladores de vírus falsos

Um exemplo da engenhosidade do Winter Vivern no relatório da Sentinel Labs é o uso de arquivos em lote do Windows para se passar por scanners de antivírus, enquanto, na realidade, baixam payloads maliciosos.

Como você pode ver nos arquivos em lote abaixo, os arquivos maliciosos fingirão realizar uma varredura de antivírus, mostrando uma porcentagem em execução do tempo restante, enquanto silenciosamente baixam um payload malicioso usando o PowerShell.

O payload entregue por esse processo é chamada de "Aperetif", que o CERT ucraniano documentou detalhadamente em um relatório de fevereiro de 2023.

O malware é hospedado em sites WordPress comprometidos, que são comumente usados em campanhas de distribuição de malware.

O malware Aperetif é capaz de varredura automática de arquivos e exfiltração, captura de tela e envio de todos os dados em uma forma codificada em base64 para um URL de servidor de comando e controle codificado em duro (marakanas[.]com).

Recentemente, a Sentinel Labs detectou um novo payload usada pelo Winter Vivern, que parece ser semelhante em funcionalidade ao Aperefit, mas apresenta um design incompleto, indicando que é um trabalho em andamento.

Em ambos os casos, que se sobrepõem em sua implantação, as balizas de malware se conectam ao C2 usando o PowerShell e aguardam instruções ou payloads adicionais.

Em conclusão, o Winter Vivern é um grupo que usa uma abordagem relativamente simplista, mas eficaz, para atrair seus alvos a baixar arquivos maliciosos.

Publicidade

Cuidado com o deauth, a tropa do SYWP vai te pegar

A primeira certificação prática brasileira de wireless hacking veio para mudar o ensino na técnica no país, apresentando labs práticos e uma certificação hands-on.
Todas as técnicas de pentest wi-fi reunidos em um curso didático e definitivo. Saiba mais...