Hackers usam Excel para atacar Ucrânia
4 de Junho de 2024

Um sofisticado ataque cibernético recente foi detectado, visando endpoints geolocalizados na Ucrânia com o objetivo de implementar Cobalt Strike e assumir o controle dos hosts comprometidos.

A cadeia de ataque, conforme descrito pelos Fortinet FortiGuard Labs, envolve um arquivo Microsoft Excel que contém uma macro VBA embutida para iniciar a infecção.

"O agressor utiliza uma estratégia de malware de múltiplas etapas para entregar o notório payload 'Cobalt Strike' e estabelecer comunicação com um servidor de comando e controle (C2)", disse a pesquisadora de segurança Cara Lin em um relatório de segunda-feira.

Este ataque emprega várias técnicas de evasão para assegurar a entrega bem-sucedida do payload.

Cobalt Strike, desenvolvido e mantido pela Fortra, é um kit de ferramentas legítimo de simulação de adversários usado para operações de red teaming.

No entanto, ao longo dos anos, versões crackeadas do software têm sido extensivamente exploradas por atores de ameaças para fins maliciosos.

O ponto de partida do ataque é o documento Excel que, ao ser aberto, exibe conteúdo em ucraniano e incita a vítima a "Habilitar Conteúdo" para ativar as macros.

Vale destacar que a Microsoft bloqueou macros por padrão no Microsoft Office a partir de julho de 2022.

Uma vez habilitadas, as macros supostamente mostram conteúdo relacionado ao montante de fundos alocados para unidades militares, enquanto, por trás das cortinas, a macro codificada em HEX implementa um downloader baseado em DLL por meio do utilitário de registro de servidor (regsvr32).

O downloader ofuscado monitora processos em execução relacionados ao Avast Antivirus e Process Hacker, e termina prontamente a si mesmo se detectar algum.

Assumindo que nenhum desses processos seja identificado, ele se conecta a um servidor remoto para buscar o payload codificado da próxima fase, mas apenas se o dispositivo em questão estiver localizado na Ucrânia.

O arquivo decodificado é uma DLL que é primariamente responsável por iniciar outro arquivo DLL, um injetor crucial para extrair e executar o malware final.

O procedimento de ataque culmina na implementação de um Cobalt Strike Beacon que estabelece contato com um servidor C2 ("simonandschuster[.]shop").

"Implementando verificações baseadas em localização durante downloads de payload, o atacante visa mascarar atividades suspeitas, possivelmente eludindo escrutínio por analistas", disse Lin.

Utilizando sequências codificadas, o VBA oculta strings de importação cruciais, facilitando a implementação de arquivos DLL para persistência e descriptografando payloads subsequentes.

Ademais, a função de autoexclusão auxilia táticas de evasão, enquanto o injetor de DLL emprega táticas de atraso e termina processos pai para evadir de sandboxing e mecanismos anti-debugging, respectivamente.

Publicidade

Pentest do Zero ao Profissional

O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...