Agentes de ameaça estão cada vez mais usando maliciosamente softwares legítimos e comercialmente disponíveis de empacotamento, como o BoxedApp, para evadir a detecção e distribuir malware, incluindo trojans de acesso remoto e ladrões de informações.
A maioria das amostras maliciosas atribuídas visava instituições financeiras e indústrias governamentais", disse o pesquisador de segurança da Check Point, Jiri Vinopal, em uma análise.
O volume de amostras empacotadas com BoxedApp e enviadas para a plataforma de análise de malware VirusTotal, pertencente ao Google, teve um pico em torno de maio de 2023, acrescentou a empresa israelense de cibersegurança, com as submissões de artefatos originando-se principalmente da Turquia, EUA, Alemanha, França e Rússia.
Entre as famílias de malware distribuídas dessa maneira estão Agent Tesla, AsyncRAT, LockBit, LodaRAT, NanoCore, Neshta, NjRAT, Quasar RAT, Ramnit, RedLine, Remcos, RevengeRAT, XWorm e ZXShell.
Packers são arquivos autoextraíveis que são frequentemente usados para agrupar software e torná-los menores.
Mas ao longo dos anos, tais ferramentas foram reaproveitadas por agentes de ameaça para adicionar mais uma camada de ofuscação a seus payloads numa tentativa de resistir à análise.
O aumento no abuso de produtos BoxedApp como BoxedApp Packer e BxILMerge foi atribuído a uma variedade de benefícios que o tornam uma opção atraente para atacantes que procuram implementar malware sem ser detectado por softwares de segurança de endpoint.
BoxedApp Packer pode ser usado para empacotar tanto PEs nativos quanto .NET, enquanto o BxILMerge – similar ao ILMerge – é exclusivamente destinado para empacotar aplicações .NET.
Dito isso, aplicações empacotadas com BoxedApp, incluindo aquelas não maliciosas, são conhecidas por sofrerem de uma alta taxa de falsos positivos (FP) quando escaneadas por engines anti-malware.
"Empacotar os payloads maliciosos possibilitou aos atacantes reduzir a detecção de ameaças conhecidas, dificultar a análise e usar as capacidades avançadas do BoxedApp SDK (por exemplo, Armazenamento Virtual) sem precisar desenvolvê-las do zero", disse Vinopal.
O SDK do BoxedApp por si só abre espaço para criar um empacotador customizado e único que usa as características mais avançadas e é diversificado o suficiente para evitar a detecção estática.
Famílias de malware como Agent Tesla, FormBook, LokiBot, Remcos, XLoader também foram propagadas usando um empacotador ilícito codinomeado NSIXloader que utiliza o Nullsoft Scriptable Install System (NSIS).
O fato de ser usado para entregar um conjunto variado de payloads implica que ele está commodificado e monetizado na dark web.
"A vantagem para os cibercriminosos em usar NSIS é que permite criar amostras que, à primeira vista, são indistinguíveis de instaladores legítimos", disse o pesquisador de segurança Alexey Bukhteyev.
Como o NSIS realiza a compressão por conta própria, os desenvolvedores de malware não precisam implementar algoritmos de compressão e descompressão.
As capacidades de script do NSIS permitem a transferência de alguma funcionalidade maliciosa dentro do script, tornando a análise mais complexa.
Esse desenvolvimento ocorre enquanto a equipe QiAnXin XLab revelou detalhes de outro empacotador codinomeado Kiteshield que tem sido usado por múltiplos agentes de ameaça, incluindo Winnti e DarkMosquito, para atacar sistemas Linux.
Kiteshield é um empacotador/protetor para binários ELF x86-64 em Linux", disseram os pesquisadores da XLab.
Envolve os binários ELF com múltiplas camadas de criptografia e os injeta com código carregador que descriptografa, mapeia e executa o binário empacotado inteiramente no espaço do usuário.
Publicidade
Aprenda a criar dispositivos incríveis com o especialista Júlio Della Flora. Tenha acesso a aulas prática que te ensinarão o que há de mais moderno em gadgets de hacking e pentest. Se prepare para o mercado de pentest físico e de sistemas embarcados através da certificação SYH2. Saiba mais...