Atores de ameaças estão abusando do instalador ConnectWise ScreenConnect para construir malware de acesso remoto assinado, modificando configurações ocultas dentro da assinatura do Authenticode do cliente.
O ConnectWise ScreenConnect é um software de monitoramento e gerenciamento remoto (RMM) que permite que administradores de TI e provedores de serviços gerenciados (MSPs) solucionem problemas em dispositivos remotamente.
Quando um instalador ScreenConnect é criado, ele pode ser personalizado para incluir o servidor remoto ao qual o cliente deve se conectar, que texto é mostrado nas caixas de diálogo e quais logos devem ser exibidos.
Esses dados de configuração são salvos dentro da assinatura do Authenticode do arquivo.
Esta técnica, chamada de "authenticode stuffing", permite a inserção de dados em uma tabela de certificado enquanto mantém a assinatura digital intacta.
A empresa de cibersegurança G DATA observou binários maliciosos do ConnectWise com valores de hash idênticos em todas as seções do arquivo, exceto pela tabela de certificado.
A única diferença era uma tabela de certificado modificada contendo nova informação de configuração maliciosa, permitindo ainda que o arquivo permanecesse assinado.
A G DATA diz que as primeiras amostras foram encontradas nos fóruns do site BleepingComputer, onde membros relataram ter sido infectados após caírem em ataques de phishing.
Ataques semelhantes foram relatados no Reddit.
Esses ataques de phishing utilizavam PDFs ou páginas intermediárias do Canva que linkavam para executáveis hospedados nos servidores R2 da Cloudflare (r2.dev).
O arquivo, chamado "Request for Proposal.exe", visto pelo site BleepingComputer, é um cliente ScreenConnect malicioso [VirusTotal] configurado para se conectar aos servidores do atacante em 86.38.225[.]6:8041 (relay.rachael-and-aidan.co[.]uk)
A G DATA desenvolveu uma ferramenta para extrair e revisar as configurações encontradas nessas campanhas, onde os pesquisadores encontraram modificações significativas, como alterar o título do instalador para "Windows Update" e substituir o fundo por uma imagem falsa do Windows Update mostrada abaixo.
Essencialmente, os atores de ameaça converteram o legítimo cliente ConnectWise ScreenConnect em malware que permite a eles acessarem de forma furtiva dispositivos infectados.
Após contactar a G DATA, a ConnectWise revogou o certificado usado nesses binários, e a G DATA agora está marcando essas amostras como Win32.Backdoor.EvilConwi.* e Win32.Riskware.SilentConwi.*.
A G DATA diz que nunca recebeu uma resposta da ConnectWise sobre esta campanha e seu relatório.
Outra campanha também está distribuindo versões trojanizadas do cliente VPN SonicWall NetExtender para roubar nomes de usuário, senhas e informações de domínio.
De acordo com um aviso da SonicWall, essas versões modificadas enviam credenciais capturadas para um servidor controlado pelo atacante, tornando crítico para os usuários obterem clientes de software apenas de sites oficiais.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...