Especialistas em segurança revelaram detalhes de uma campanha ativa de malware que explora uma vulnerabilidade de DLL side-loading em um arquivo legítimo associado à biblioteca open-source c-ares.
A falha permite que invasores contornem mecanismos de segurança para distribuir diversos trojans e stealers comuns.
Segundo a empresa Trellix, em relatório compartilhado com o The Hacker News, os criminosos combinam uma versão maliciosa do arquivo libcares-2.dll com qualquer versão assinada do executável legítimo ahost.exe — frequentemente renomeado — para executar seu código.
Essa técnica de DLL side-loading permite que o malware evada defesas baseadas em assinaturas tradicionais.
A campanha vem distribuindo uma variedade de malwares, incluindo Agent Tesla, CryptBot, Formbook, Lumma Stealer, Vidar Stealer, Remcos RAT, Quasar RAT, DCRat e XWorm.
Os alvos são funcionários dos setores financeiro, de compras, cadeia de suprimentos e administração em áreas comerciais e industriais, como petróleo, gás, importação e exportação.
Os ataques utilizam iscas em árabe, espanhol, português, farsi e inglês, indicando foco em regiões específicas.
O ataque se baseia em colocar a DLL maliciosa na mesma pasta do executável vulnerável, explorando a ordem de busca por bibliotecas para carregar o arquivo falso em vez do legítimo — permitindo a execução remota de código pelos invasores.
O ahost.exe utilizado é assinado pela GitKraken e normalmente distribuído com o aplicativo desktop da empresa.
Análises realizadas no VirusTotal identificaram que o malware é disseminado com diversos nomes que simulam documentos financeiros e solicitações de orçamento (RFQ), como “RFQ_NO_04958_LG2049 pdf.exe” e “Fatura da DHL.exe”, com o objetivo de enganar os usuários.
A Trellix ressalta que essa campanha evidencia o crescimento das ameaças baseadas em ataques de DLL sideloading, que abusam de utilitários confiáveis e assinados digitalmente — como o ahost.exe da GitKraken — para burlar sistemas de proteção e instalar malwares potentes de forma furtiva.
“Ao explorar softwares legítimos e seu processo de carregamento de DLLs, os atacantes conseguem implantar ameaças como XWorm e DCRat, garantindo acesso remoto persistente e roubo de dados”, afirmam os pesquisadores.
No campo das ameaças, a Trellix também reportou aumento em golpes de phishing focados no Facebook, que utilizam a técnica Browser-in-the-Browser (BitB).
Ela simula uma tela falsa de autenticação dentro do navegador legítimo, criando um pop-up malicioso via iframe, o que torna quase impossível diferenciar a página falsa da verdadeira.
O ataque geralmente começa com e-mails de phishing que se passam por comunicações de escritórios de advocacia, contendo avisos falsos sobre vídeos infratores e links disfarçados como páginas oficiais do Facebook.
Ao clicar no link encurtado, a vítima é direcionada a um falso CAPTCHA da Meta que exige login, disparando a janela fraudulenta com a tela falsa para capturar as credenciais.
Outras variações da campanha usam e-mails que alegam violações de direitos autorais, alertas de logins suspeitos, bloqueio iminente da conta ou vulnerabilidades de segurança.
Essas mensagens induzem um senso de urgência, levando as vítimas a páginas hospedadas em serviços legítimos como Netlify e Vercel, onde os dados são roubados.
Indícios apontam que esses ataques ocorrem desde julho de 2023.
De acordo com a Trellix, a principal inovação está no abuso de infraestruturas confiáveis, utilizando plataformas de nuvem populares e encurtadores de URL para burlar filtros tradicionais, criando uma falsa sensação de segurança nas páginas de phishing.
Paralelamente, outra campanha de phishing identificada pela Forcepoint X-Labs em fevereiro de 2023 utiliza cargas Python e túneis TryCloudflare para distribuir o AsyncRAT, por meio de links do Dropbox que apontam para arquivos ZIP contendo atalhos da internet (URL).
O primeiro payload, um arquivo Windows Script Host (WSH), baixa scripts maliciosos hospedados em servidores WebDAV, que por sua vez executam comandos para garantir a infecção persistente.
Um diferencial desse ataque é o uso de técnicas living-off-the-land (LotL), que exploram recursos nativos do Windows — como Windows Script Host e PowerShell — e a infraestrutura gratuita da Cloudflare para evitar detecção.
Os scripts hospedados em domínios TryCloudflare instalam ambientes Python, criam persistência por meio de scripts na pasta de inicialização do Windows e injetam o shellcode do AsyncRAT no processo explorer.exe.
Enquanto isso, exibem um PDF falso para distrair a vítima, dando a impressão de que um documento legítimo foi aberto.
Para a Trend Micro, essa campanha demonstra a crescente sofisticação dos cibercriminosos ao abusar de serviços legítimos e ferramentas open-source para driblar a segurança e estabelecer acesso remoto prolongado.
Ao combinar scripts Python com a infraestrutura gratuita da Cloudflare, os atacantes mascaram suas atividades sob domínios confiáveis, dificultando a identificação dos ataques.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...