Pesquisadores de cibersegurança revelaram detalhes sobre um novo trojan de acesso remoto e ladrão de informações utilizado por atores patrocinados pelo estado iraniano para realizar reconhecimento de endpoints comprometidos e executar comandos maliciosos.
A empresa de cibersegurança Check Point nomeou o malware de WezRat, afirmando que ele foi detectado "no wild" desde pelo menos 1° de setembro de 2023, com base em artefatos carregados na plataforma VirusTotal.
"WezRat pode executar comandos, tirar capturas de tela, fazer upload de arquivos, realizar keylogging, e roubar o conteúdo da área de transferência e arquivos de cookies," disse em um relatório técnico.
Algumas funções são realizadas por módulos separados recuperados do servidor de comando e controle (C&C) na forma de arquivos DLL, tornando o componente principal do backdoor menos suspeito.
Avalia-se que o WezRat seja obra do Cotton Sandstorm, um grupo de hackers iraniano mais conhecido pelos nomes Emennet Pasargad e, mais recentemente, Aria Sepehr Ayandehsazan (ASA).
O malware foi documentado pela primeira vez no mês passado por agências de cibersegurança dos EUA e de Israel, descrevendo-o como uma "ferramenta de exploração para coletar informações sobre um endpoint e executar comandos remotos."
Cadeias de ataque, conforme as autoridades governamentais, envolvem o uso de instaladores trojanizados do Google Chrome ("Google Chrome Installer.msi") que, além de instalar o navegador web Chrome legítimo, é configurado para executar um segundo binário denominado "Updater.exe" (interno chamado "bd.exe").
O executável recheado de malware, por sua vez, é projetado para colher informações do sistema e estabelecer contato com um servidor de comando e controle (C&C)("connect.il-cert[.]net") para aguardar instruções adicionais.
A Check Point disse que observou o WezRat sendo distribuído para várias organizações israelenses como parte de e-mails de phishing que se passavam pela Diretoria Nacional de Cibersegurança de Israel (INCD).
Os e-mails, enviados em 21 de outubro de 2024, originavam-se do endereço de e-mail "alert@il-cert[.]net" e instavam os destinatários a instalar urgentemente uma atualização de segurança do Chrome.
"O backdoor é executado com dois parâmetros: connect.il-cert.net 8765, que representa o servidor C&C, e um número usado como uma 'senha' para habilitar a execução correta do backdoor," disse a Check Point, observando que fornecer uma senha incorreta poderia fazer com que o malware "executasse uma função incorreta ou potencialmente travasse."
Os comandos suportados, que são executados na forma de arquivos DLL adicionais baixados do servidor, permitem que o malware adicione um segundo servidor C&C como um mecanismo de fallback, faça o upload e download de arquivos, capture capturas de tela, registre pressionamentos de teclas, extraia o conteúdo da área de transferência, roube cookies de navegadores baseados em Chromium e execute instruções via cmd.exe.
"As versões anteriores do WezRat tinham endereços de servidores C&C codificados e não dependiam do argumento 'senha' para funcionar," disse a Check Point.
Inicialmente, o WezRat funcionava mais como um simples trojan de acesso remoto com comandos básicos.
Com o tempo, recursos adicionais como capacidade de captura de tela e keylogger foram incorporados e tratados como comandos separados.
Além disso, a análise da empresa sobre o malware e sua infraestrutura de backend sugere que há pelo menos duas equipes diferentes envolvidas no desenvolvimento do WezRat e em suas operações.
"O desenvolvimento contínuo e o refinamento do WezRat indicam um investimento dedicado em manter uma ferramenta versátil e evasiva para a espionagem cibernética," concluiu.
As atividades do Emennet Pasargad têm como alvo várias entidades nos Estados Unidos, Europa e Oriente Médio, representando uma ameaça não apenas para adversários políticos diretos, mas também para qualquer grupo ou indivíduo com influência sobre a narrativa internacional ou doméstica do Irã.
Publicidade
Em nenhum outro momento você conseguirá pagar tão pouco em um treinamento e certificação Solyd. A Solyd não te oferece um simples curso online. Mas sim uma experiência completa de aulas com três profissionais que vivem e trabalham como um hacker 24 horas por dia, que se dedicam durante todo ano a tirar seus sonhos de criança do papel. Ter algo desse nível era impossível há apenas 10 anos atrás, e hoje conseguimos entregar o melhor programa de educação em hacking do mundo. O melhor dia para começar sempre foi HOJE. Saiba mais...