Hackers usam carros como isca para phishing
5 de Agosto de 2024

Um ator de ameaças vinculado à Rússia foi associado a uma nova campanha que utilizou um anúncio de carro à venda como isca de phishing para entregar um backdoor modular para Windows denominado HeadLace.

"A campanha provavelmente teve como alvo diplomatas e começou tão cedo quanto março de 2024", disse a Unidade 42 da Palo Alto Networks em um relatório publicado hoje, atribuindo-a com um nível de confiança médio a alto ao APT28, que também é conhecido como BlueDelta, Fancy Bear, Fighting Ursa, Forest Blizzard, FROZENLAKE, Iron Twilight, ITG05, Pawn Storm, Sednit, Sofacy e TA422.

Vale ressaltar que temas de isca de phishing envolvendo venda de carros já foram utilizados anteriormente por um diferente grupo de ameaças patrocinado pelo estado russo chamado APT29 desde julho de 2023, indicando que o APT28 está reaproveitando táticas bem-sucedidas para suas próprias campanhas.

No início de maio, o ator de ameaças foi implicado em uma série de campanhas mirando redes em toda a Europa com o malware HeadLace e páginas de phishing para roubo de credenciais.

Os ataques são caracterizados pelo uso de um serviço legítimo conhecido como webhook[.]site – uma marca registrada das operações cibernéticas do APT28, juntamente com Mocky – para hospedar uma página HTML maliciosa, que primeiro verifica se a máquina alvo está rodando Windows e, se estiver, oferece um arquivo ZIP para download ("IMG-387470302099.zip").

Se o sistema não for baseado em Windows, redireciona para uma imagem de chamariz hospedada no ImgBB, especificamente um SUV Audi Q7 Quattro.

Dentro do arquivo estão três arquivos: O executável legítimo da calculadora do Windows que se disfarça como um arquivo de imagem ("IMG-387470302099.jpg.exe"), um DLL ("WindowsCodecs.dll") e um script em lote ("zqtxmo.bat").

O binário da calculadora é usado para carregar lateralmente o DLL malicioso, um componente do backdoor HeadLace, que é projetado para executar o script em lote, que, por sua vez, executa um comando codificado em Base64 para recuperar um arquivo de outro URL do webhook[.]site.

Este arquivo é então salvo como "IMG387470302099.jpg" na pasta de downloads dos usuários e renomeado para "IMG387470302099.cmd" antes da execução, após o qual é deletado para apagar vestígios de qualquer atividade maliciosa.

"Embora a infraestrutura usada pela Fighting Ursa varie para diferentes campanhas de ataque, o grupo frequentemente depende desses serviços disponíveis gratuitamente", disse a Unidade 42.

"Além disso, as táticas desta campanha se alinham com campanhas da Fighting Ursa previamente documentadas, e o backdoor HeadLace é exclusivo para este ator de ameaças."

Publicidade

Proteja sua empresa contra hackers através de um Pentest

Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...