Agentes de ameaças foram observados ocultando códigos maliciosos em imagens para entregar malware, como o VIP Keylogger e o 0bj3ctivity Stealer, como parte de campanhas separadas.
"Em ambas as campanhas, os invasores esconderam códigos maliciosos em imagens que eles carregaram no archive[.]org, um site de hospedagem de arquivos, e utilizaram o mesmo carregador .NET para instalar seus payloads finais," disse a HP Wolf Security em seu Relatório de Insights de Ameaças para o Q3 de 2024 compartilhado.
O ponto de partida é um e-mail de phishing que se disfarça de faturas e ordens de compra para enganar os destinatários a abrir anexos maliciosos, como documentos do Microsoft Excel, que, ao serem abertos, exploram uma falha de segurança conhecida no Equation Editor (
CVE-2017-11882
) para baixar um arquivo VBScript.
O script, por sua vez, é projetado para decodificar e executar um script PowerShell que recupera uma imagem hospedada no archive[.]org e extrai um código codificado em Base64, que é posteriormente decodificado em um executável .NET e executado.
O executável .NET serve como um carregador para baixar o VIP Keylogger de uma URL fornecida e executá-lo, permitindo que os agentes de ameaças roubem uma ampla gama de dados dos sistemas infectados, incluindo teclas digitadas, conteúdo da área de transferência, capturas de tela e credenciais.
VIP Keylogger compartilha sobreposições funcionais com o Snake Keylogger e o 404 Keylogger.
Uma campanha semelhante foi encontrada enviando arquivos de arquivo maliciosos para alvos por e-mail.
Essas mensagens, que se passam por solicitações de cotações, objetivam atrair visitantes a abrir um arquivo JavaScript dentro do arquivo que, em seguida, lança um script PowerShell.
Como no caso anterior, o script PowerShell baixa uma imagem de um servidor remoto, analisa o código codificado em Base64 dentro dela e executa o mesmo carregador baseado em .NET.
O que é diferente é que a cadeia de ataque culmina com a implementação de um ladrão de informações chamado 0bj3ctivity.
As semelhanças entre as duas campanhas sugerem que os agentes de ameaças estão aproveitando kits de malware para melhorar a eficiência geral, ao mesmo tempo que reduzem o tempo e a expertise técnica necessários para elaborar os ataques.
A HP Wolf Security também disse que observou atores mal-intencionados recorrendo a técnicas de contrabando via HTML para distribuir o trojan de acesso remoto XWorm por meio de um dropper AutoIt, ecoando campanhas anteriores que distribuíram o AsyncRAT de maneira semelhante.
"Notavelmente, os arquivos HTML tinham características sugerindo que haviam sido escritos com a ajuda de GenAI," disse a HP.
A atividade aponta para o uso crescente de GenAI nas fases de acesso inicial e entrega de malware da cadeia de ataque.
De fato, os agentes de ameaças têm a ganhar vários benefícios do GenAI, desde escalar ataques e criar variações que poderiam aumentar suas taxas de infecção, até dificultar a atribuição por parte dos defensores da rede. Isso não é tudo.
Agentes de ameaças foram flagrados criando repositórios no GitHub anunciando ferramentas de trapaça e modificação de jogos eletrônicos a fim de implantar o malware Lumma Stealer usando um dropper .NET.
"As campanhas analisadas fornecem mais evidências da comoditização do cibercrime," disse Alex Holland, pesquisador de ameaças principal no Laboratório de Segurança da HP.
Como os kits de malware por números estão mais livremente disponíveis, acessíveis e fáceis de usar, até mesmo novatos com habilidades e conhecimentos limitados podem montar uma cadeia de infecção eficaz.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...