Um atacante iraniano ligado a um novo conjunto de ataques de phishing direcionados a Israel foi identificado como responsável pela implantação de uma versão atualizada de um backdoor do Windows chamado PowerLess.
A empresa de segurança cibernética Check Point está rastreando a atividade do grupo sob o nome de criatura lendária Educated Manticore, que apresenta "fortes sobreposições" com uma equipe de hackers conhecida como APT35, Charming Kitten, Cobalt Illusion, ITG18, Mint Sandstorm (anteriormente Phosphorus), TA453 e Yellow Garuda.
Ativo desde pelo menos 2011, o APT35 tem como alvo diversos alvos por meio de personas falsas nas redes sociais, técnicas de spear-phishing e vulnerabilidades N-day em aplicativos expostos na internet.
O desenvolvimento é uma indicação de que o adversário está continuamente refinando e reestruturando seu arsenal de malware para expandir sua funcionalidade e resistir aos esforços de análise, ao mesmo tempo em que adota métodos aprimorados para evitar a detecção.
A sequência de ataque documentada pela Check Point começa com um arquivo de imagem de disco ISO que usa iscas temáticas do Iraque para baixar um downloader personalizado na memória que, por fim, inicia a implantação do PowerLess.
O arquivo ISO atua como um conduto para exibir um documento falso escrito em árabe, inglês e hebraico, e alega apresentar conteúdo acadêmico sobre o Iraque de uma entidade sem fins lucrativos legítima chamada Fundação Árabe de Ciência e Tecnologia (ASTF), indicando que a comunidade de pesquisa pode ter sido o alvo da campanha.
O backdoor PowerLess, anteriormente destacado pela Cybereason em fevereiro de 2022, vem com capacidades para roubar dados de navegadores da web e aplicativos como o Telegram, tirar capturas de tela, gravar áudio e registrar teclas.
A empresa de segurança cibernética disse que também descobriu dois outros arquivos de arquivo usados como parte de um conjunto de invasões diferentes que compartilha sobreposições com a sequência de ataque mencionada acima devido ao uso do mesmo arquivo PDF temático do Iraque.
A análise adicional revelou que as cadeias de infecção decorrentes desses dois arquivos de arquivo culminam na execução de um script PowerShell que é projetado para baixar dois arquivos de um servidor remoto e executá-los.
"Educated Manticore continua a evoluir, refinando ferramentas e mecanismos observados anteriormente", disse a Check Point, acrescentando que "o ator adota tendências populares para evitar detecção" e continua "desenvolvendo ferramentas personalizadas usando técnicas avançadas".
"Por ser uma versão atualizada de malware relatado anteriormente, é importante observar que pode representar apenas as fases iniciais da infecção, com frações significativas de atividade pós-infecção ainda a serem vistas no mundo real".
Publicidade
Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...