Uma campanha de phishing que os pesquisadores de segurança chamaram de SmugX e atribuíram a um ator de ameaça chinês tem como alvo embaixadas e ministérios de relações exteriores no Reino Unido, França, Suécia, Ucrânia, República Tcheca, Hungria e Eslováquia desde dezembro de 2022.
Pesquisadores da empresa de cibersegurança Check Point analisaram os ataques e observaram sobreposições com atividades anteriormente atribuídas a grupos de ameaças persistentes avançadas (APT) rastreados como Mustang Panda e RedDelta.
Ao analisarem os documentos de isca, os pesquisadores notaram que eles normalmente têm temas relacionados a políticas domésticas e externas europeias.
As iscas usadas na campanha SmugX revelam o perfil do alvo do ator de ameaça e indicam que o objetivo provável da campanha é espionagem.
A Check Point observou que os ataques do SmugX se baseiam em duas cadeias de infecção, ambas usando a técnica de smuggling HTML para ocultar payloads maliciosos em strings de documentos HTML codificados anexados à mensagem de isca.
Uma variante da campanha entrega um arquivo ZIP com um arquivo LNK malicioso que executa o PowerShell quando lançado, para extrair um arquivo e salvá-lo no diretório temporário do Windows.
O arquivo extraído contém três arquivos, sendo um deles um executável legítimo (ou "robotaskbaricon.exe" ou "passwordgenerator.exe") de uma versão mais antiga do gerenciador de senhas RoboForm que permitia carregar arquivos DLL não relacionados à aplicação, uma técnica chamada DLL sideloading.
Os outros dois arquivos são uma DLL maliciosa (Roboform.dll) que é carregada usando um dos dois executáveis legítimos, e "data.dat" - que contém o trojan de acesso remoto PlugX que é executado por meio do PowerShell.
A segunda variante da cadeia de ataque usa o smuggling HTML para baixar um arquivo JavaScript que executa um arquivo MSI após o download do servidor de comando e controle (C2) do atacante.
O MSI então cria uma nova pasta dentro do diretório "%appdata%\Local" e armazena três arquivos: um executável legítimo sequestrado, a DLL do carregador e o payload PlugX criptografado ("data.dat").
Novamente, o programa legítimo é executado e o malware PlugX é carregado na memória por meio do DLL sideloading na tentativa de evitar detecção.
Para garantir a persistência, o malware cria um diretório oculto onde armazena os arquivos executáveis legítimos e DLL maliciosas e adiciona o programa à chave de registro 'Executar'.
Uma vez instalado e em execução na máquina da vítima, o PlugX pode carregar um arquivo PDF enganoso para distrair a vítima e reduzir sua suspeita.
O PlugX é um RAT modular que vem sendo usado por várias APTs chinesas desde 2008.
Ele possui uma ampla gama de funções que incluem exfiltração de arquivos, captura de tela, keylogging e execução de comandos.
Embora o malware esteja normalmente associado a grupos APT, também tem sido usado por atores de ameaças cibernéticas.
No entanto, a versão que a Check Point viu ser implantada na campanha SmugX é em grande parte a mesma das vistas em outros ataques recentes atribuídos a um adversário chinês, com a diferença de que ela usou o cifra RC4 em vez de XOR.
Com base nos detalhes descobertos, os pesquisadores da Check Point acreditam que a campanha SmugX mostra que os grupos de ameaça chineses estão se interessando por alvos europeus, provavelmente para espionagem.
Publicidade
Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...