Hackers de Blackwood sequestram atualização do WPS Office para instalar malware
26 de Janeiro de 2024

Um ator de ameaças avançadas anteriormente desconhecido, rastreado como 'Blackwood', está usando um sofisticado malware chamado NSPX30 em ataques de ciberespionagem contra empresas e indivíduos.

O adversário tem estado ativo desde pelo menos 2018, utilizando o malware NSPX30, um implante com uma base de código enraizada em um simples backdoor de 2005, seguindo ataques do tipo adversário-no-meio (AitM).

Pesquisadores da empresa de segurança cibernética ESET descobriram a Blackwood e o implante NSPX30 em uma campanha em 2020 e acreditam que as atividades do grupo estejam alinhadas com os interesses do estado chinês.

Os alvos da Blackwood estão na China, Japão e Reino Unido e o malware é entregue através dos mecanismos de atualização de softwares legítimos como o WPS Office (suite de escritório), a plataforma de mensagens instantâneas Tencent QQ, e o editor de documentos Sogou Pinyin.

Segundo os pesquisadores, o ator de ameaça realiza ataques AitM e intercepta o tráfego gerado pelo NSPX30 para encobrir suas atividades e esconder seus servidores de comando e controle (C2).

A ESET também nota que a Blackwood possivelmente compartilha acesso com outros grupos APT chineses, pois observou o sistema de uma empresa sendo alvo de toolkits associados a múltiplos atores, por exemplo, Evasive Panda, LuoYu e LittleBear.

NSPX30 é um implante sofisticado baseado em um código de um backdoor de 2005 chamado 'Project Wood' que tinha capacidades elementares para coletar dados do sistema, registrar teclas e tirar screenshots.

Entre outros implantes oriundos do Project Wood estava o DCM (Dark Specter), visto pela primeira vez em 2008, apresentando várias melhorias funcionais.

A ESET acredita que o NSPX30 evoluiu do DCM, com a primeira amostra conhecia do malware documentada em 2018.

Ao contrário de seus predecessores, o NSPX30 é caracterizado por sua arquitetura multietapa, que inclui componentes como um dropper, um instalador DLL com amplas capacidades de burlar o UAC, um carregador, um orquestrador e um backdoor, cada um com seu próprio conjunto de plugins.

NSPX30 demonstra um avanço técnico significativo, com capacidades de interceptação de pacotes para esconder sua infraestrutura, permitindo operar de forma encoberta.

Também possui mecanismos que o adicionam às listas de permissões de ferramentas anti-malware chinesas para evitar detecção.

A função principal de NSPX30 é coletar informações do sistema violado, incluindo arquivos, screenshots, teclas pressionadas, dados de hardware e de rede, e credenciais.

O backdoor também pode roubar registros de bate-papos e listas de contatos, do Tencent QQ, WeChat, Telegram, Skype, CloudChat, RaidCall, YY e AliWangWang.

Além disso, o backdoor pode terminar processos por PID, criar um shell reverso, mover arquivos para caminhos especificados, ou se desinstalar do sistema infectado.

Um aspecto notável das atividades da Blackwood é a capacidade de entregar o NSPX30 sequestrando solicitações de atualização feitas por software legítimo, incluindo Tencent QQ, WPS Office e Sogou Pinyin.

Isso difere de um compromisso na cadeia de fornecimento, no entanto, porque a Blackwood intercepta a comunicação HTTP não criptografada entre o sistema da vítima e o servidor de atualização e intervém para entregar o implante em vez disso.

O mecanismo exato que permite a Blackwood interceptar esse tráfego em primeiro lugar é desconhecido.

A ESET especula que isso pode ser possível usando um implante nas redes dos alvos, possivelmente em aparelhos vulneráveis como roteadores ou gateways.

Baseado em sua análise, os pesquisadores acreditam que o backdoor original na raiz da evolução do implante customizado NSPX30 parece ter sido desenvolvido por desenvolvedores de malware habilidosos.

O relatório da ESET fornece detalhes técnicos abundantes sobre o malware e como ele funciona, e também inclui uma lista de indicadores de compromisso que os defensores podem usar para proteger seu ambiente.

Publicidade

Cuidado com o deauth, a tropa do SYWP vai te pegar

A primeira certificação prática brasileira de wireless hacking veio para mudar o ensino na técnica no país, apresentando labs práticos e uma certificação hands-on.
Todas as técnicas de pentest wi-fi reunidos em um curso didático e definitivo. Saiba mais...