Um grupo de ameaça vinculado à China, identificado como PlushDaemon, está sequestrando o tráfego de atualizações de software por meio de um novo implant chamado EdgeStepper, em operações de ciberespionagem.
Desde 2018, os hackers do PlushDaemon têm como alvos indivíduos e organizações nos Estados Unidos, China, Taiwan, Hong Kong, Coreia do Sul e Nova Zelândia, utilizando malwares customizados, como a backdoor SlowStepper.
Entre as vítimas confirmadas estão fabricantes de eletrônicos, universidades e uma fábrica japonesa de automóveis no Camboja.
Dados de telemetria da empresa de cibersegurança ESET indicam que, desde 2019, o grupo tem explorado atualizações maliciosas para invadir redes-alvo.
Os invasores obtêm acesso a roteadores explorando vulnerabilidades conhecidas ou senhas administrativas fracas.
Após isso, instalam o implant EdgeStepper e redirecionam o tráfego de atualizações de software para sua própria infraestrutura.
Desenvolvido em Golang e compilado como um binário ELF, o EdgeStepper intercepta consultas DNS e as redireciona para um nó malicioso, confirmando que o domínio é utilizado para distribuição de atualizações, conforme detalham pesquisadores da ESET em relatório compartilhado com o BleepingComputer.
Quando a vítima tenta atualizar seu software, recebe um downloader de malware para Windows chamado LittleDaemon, disfarçado como um arquivo DLL nomeado popup_4.2.0.2246.dll.
O LittleDaemon estabelece comunicação com o nó de sequestro dos atacantes e baixa um segundo dropper chamado DaemonicLogistics, que é descriptografado e executado diretamente na memória.
Na etapa seguinte, os hackers usam o DaemonicLogistics para instalar sua backdoor característica, SlowStepper.
Essa backdoor já foi documentada anteriormente em ataques contra usuários da VPN sul-coreana IPany, quando os invasores distribuíram um instalador trojanizado a partir do site oficial do fornecedor.
O malware SlowStepper permite aos invasores coletar informações detalhadas do sistema, realizar operações extensas com arquivos, executar comandos e utilizar ferramentas de spyware baseadas em Python, capazes de roubar dados do navegador, interceptar digitação e capturar credenciais.
Pesquisadores da ESET ressaltam que as capacidades de ataque man-in-the-middle do PlushDaemon são suficientemente robustas para comprometer vítimas em qualquer lugar do mundo.
O relatório divulgado hoje traz detalhes técnicos de todo o novo conjunto de malwares, além de indicadores de comprometimento, incluindo arquivos, endereços IP e domínios utilizados pelo PlushDaemon nas operações que empregaram o implant EdgeStepper.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...