Hackers usam o certificado de código do provedor de VPN para assinar malware
21 de Agosto de 2023

O grupo APT (ameaça persistente avançada) alinhado à China, conhecido como 'Bronze Starlight', foi visto atacando a indústria de jogos de azar do sudeste asiático com malware assinado usando um certificado válido usado pelo provedor Ivacy VPN.

O principal benefício de usar um certificado válido é contornar medidas de segurança, evitar levantar suspeitas com alertas do sistema e misturar-se a softwares e tráfegos legítimos.

De acordo com a SentinelLabs, que analisou a campanha, o certificado pertence à PMG PTE LTD, uma fornecedora de Singapura do produto VPN 'Ivacy VPN'.

Os ataques cibernéticos observados em março de 2023 provavelmente são uma fase posterior da 'Operação ChattyGoblin' que a ESET identificou em um relatório Q4 2022 – Q1 2023.

Porém, a SentinelLabs afirma que é difícil de associar a clusters específicos devido ao amplo compartilhamento de ferramentas entre atores chineses de ameaças.

Os ataques começam com a queda de executáveis .NET (agentupdate_plugins.exe e AdventureQuest.exe) no sistema alvo, provavelmente via aplicativos de chat troianizados, que buscam arquivos ZIP protegidos por senha de baldes da Alibaba.

A amostra de malware AdventureQuest.exe foi encontrada pela primeira vez pelo pesquisador de segurança MalwareHunterteam em maio, quando notaram que o certificado de assinatura de código era o mesmo usado nos instaladores oficiais do Ivacy VPN.

Esses arquivos contêm versões de software vulneráveis, como Adobe Creative Cloud, Microsoft Edge e McAfee VirusScan, que são suscetíveis a sequestro de DLLs.

Os hackers do Bronze Starlight usam essas aplicações vulneráveis para instalar beacons do Cobalt Strike nos sistemas alvo.

As DLLs maliciosas (libcef.dll, msedge_elf.dll e LockDown.dll) são embaladas dentro dos arquivos junto com os executáveis do programa legítimo, e o Windows prioriza sua execução contra versões mais seguras da mesma DLL armazenada em C:\Windows\System32, permitindo assim a execução de código malicioso.

A SentinelLabs destaca que os executáveis .NET apresentam uma restrição de geocerca que impede que o malware seja executado nos Estados Unidos, Alemanha, França, Rússia, Índia, Canadá, ou Reino Unido.

Esses países estão fora do escopo alvo desta campanha e são excluídos para evitar detecção e análise.

No entanto, devido a um erro na implementação da geocerca, isso não funciona.

Um aspecto intrigante dos ataques observados é o uso de um certificado de assinatura de código que pertence à PMG PTE LTD, a empresa por trás da Ivacy VPN.

Na verdade, o mesmo certificado é usado para assinar o instalador oficial da Ivacy VPN, vinculado ao site do provedor VPN.

"É provável que em algum momento a chave de assinatura da PMG PTE LTD tenha sido roubada - uma técnica familiar dos conhecidos atores chineses de ameaças para permitir a assinatura de malware", hipotetiza a SentinelLabs.

"Os fornecedores de VPN são alvos críticos, pois permitem que os atores de ameaças potencialmente tenham acesso a dados e comunicações sensíveis dos usuários."

Se o certificado foi roubado, os pesquisadores de segurança estão preocupados sobre o que mais os atores de ameaças tiveram acesso no provedor VPN.

A PMG PTE LTD não respondeu a esta revelação com uma declaração pública, por isso as exatas formas como os hackers obtiveram acesso ao certificado ainda não são claras.

Enquanto isso, a DigiCert revogou e invalidou o certificado no início de junho de 2023 por violação das diretrizes "Baseline Requirements".

O BleepingComputer contatou a Ivacy sobre o abuso do seu certificado de assinatura de código, mas não obteve resposta.

Publicidade

Cuidado com o deauth, a tropa do SYWP vai te pegar

A primeira certificação prática brasileira de wireless hacking veio para mudar o ensino na técnica no país, apresentando labs práticos e uma certificação hands-on.
Todas as técnicas de pentest wi-fi reunidos em um curso didático e definitivo. Saiba mais...