O grupo de hackers norte-coreano APT37 usa um novo malware de roubo de informações chamado 'FadeStealer', que contém um recurso de 'grampeamento' que permite ao ator da ameaça ouvir e gravar os microfones das vítimas.
Acredita-se que o APT37, também conhecido como StarCruft, Reaper ou RedEyes, seja um grupo de hackers patrocinado pelo estado com uma longa história de ataques de ciberespionagem alinhados aos interesses norte-coreanos.
Esses ataques visam desertores norte-coreanos, instituições educacionais e organizações baseadas na UE.
No passado, os hackers eram conhecidos por utilizar malwares personalizados chamados 'Dolphin' e 'M2RAT' para executar comandos e roubar dados, credenciais e capturas de tela de dispositivos Windows e até mesmo telefones celulares conectados.
Em um novo relatório do AhnLab Security Emergency Response Center (ASEC), pesquisadores fornecem informações sobre novos malwares personalizados chamados 'AblyGo backdoor' e 'FadeStealer' que os atores de ameaças usam em ataques de ciberespionagem.
Acredita-se que o malware seja entregue usando e-mails de phishing com arquivos anexos contendo documentos do Word e Hangul Word Processor protegidos por senha (.docx e .hwp) e um arquivo Windows CHM 'password.chm'.
A ASEC acredita que os e-mails de phishing instruem o destinatário a abrir o arquivo CHM para obter a senha dos documentos, iniciando assim o processo de infecção no dispositivo Windows.
Uma vez que o arquivo CHM é aberto, ele exibirá a suposta senha para abrir o documento, mas também baixa e executa silenciosamente um script PowerShell remoto que contém funcionalidade de backdoor e é registrado para iniciar automaticamente com o Windows.
Esse backdoor PowerShell se comunica com os servidores de comando e controle dos atacantes e executa quaisquer comandos enviados pelos atacantes.
O backdoor é usado para implantar um backdoor adicional GoLang usado nas últimas etapas do ataque para realizar escalonamento de privilégios, roubo de dados e entrega de mais malwares.
Esse novo backdoor é chamado de 'AblyGo backdoor', pois usa a plataforma Ably, um serviço API que permite aos desenvolvedores implantar recursos em tempo real e entrega de informações em seus aplicativos.
Os atores de ameaças usam o ABLY como plataforma de comando e controle para enviar comandos codificados em base64 para o backdoor executar e, em seguida, receber qualquer saída, que posteriormente é recuperada pelos atores de ameaças.
Como essa é uma plataforma legítima, é provável que os atores de ameaças a usem para evitar a monitoração da rede e o software de segurança.
A ASEC obteve acesso à chave API Ably usada pelo backdoor e pôde monitorar alguns dos comandos emitidos pelos atacantes.
Esses comandos ilustraram como os hackers usaram o backdoor para listar os arquivos em um diretório, renomear um arquivo falso .jpg para um arquivo .exe e, em seguida, executá-lo.
No entanto, é tecnicamente possível que o ator da ameaça envie qualquer comando que desejar executar.
Por fim, os backdoors implantam um payload final na forma de 'FadeStealer', um malware de roubo de informações capaz de roubar uma ampla variedade de informações de dispositivos Windows.
Quando instalado, o FadeStealer é injetado usando sideloading DLL no processo legítimo do Internet Explorer 'ieinstall.exe' e começa a roubar dados do dispositivo e armazená-los em arquivos RAR a cada 30 minutos.
Os dados incluem capturas de tela, teclas digitadas, arquivos coletados de smartphones conectados e dispositivos removíveis.
O malware também inclui a capacidade de gravar áudio de um microfone conectado, permitindo que os atores de ameaças ouçam conversas.
Os atores de ameaças podem, então, analisar esses dados coletados para roubar informações sensíveis para uso pelo governo norte-coreano ou realizar mais ataques.
O APT37 não é o único ator de ameaça norte-coreano que utiliza arquivos CHM para implantar malwares.
A ASEC também relatou hoje que o grupo de hackers patrocinado pelo estado Kimsuky está utilizando arquivos CHM em ataques de phishing para implantar scripts maliciosos que roubam informações do usuário e instalam malwares adicionais.
"Se você examinar o fluxo geral de ataque neste caso, o ator da ameaça realizou seu ataque de maneira inteligente e precisa, empregando e-mails de phishing direcionados para obter acesso aos sistemas-alvo e usando um canal Ably como um servidor de comando e controle", concluíram os pesquisadores.
"Esse tipo de ataque é difícil de ser notado por indivíduos".
Publicidade
O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...