Usuários de aplicativos chineses de mensagens instantâneas como o DingTalk e o WeChat são o alvo de uma versão para Apple macOS de um backdoor denominado HZ RAT.
Os artefatos "replicam quase exatamente a funcionalidade da versão Windows do backdoor e diferem apenas no payload, que é recebido na forma de shell scripts do servidor dos atacantes", disse o pesquisador da Kaspersky, Sergey Puzan.
O HZ RAT foi documentado pela primeira vez pela empresa alemã de cibersegurança DCSO em novembro de 2022, com o malware sendo distribuído via arquivos zip autoextraíveis ou documentos RTF maliciosos construídos presumivelmente usando o Royal Road RTF weaponizer.
As cadeias de ataque envolvendo documentos RTF são projetadas para implantar a versão Windows do malware, que é executada no host comprometido explorando uma falha antiga do Microsoft Office no Equation Editor (
CVE-2017-11882
).
O segundo método de distribuição, por outro lado, se disfarça como um instalador para softwares legítimos como OpenVPN, PuTTYgen ou EasyConnect que, além de instalar o programa de isca, também executa um Script Visual Basic (VBS) responsável por iniciar o RAT.
As capacidades do HZ RAT são bastante simples, consistindo em conectar-se a um servidor de comando e controle (C2) para receber instruções adicionais.
Isso inclui executar comandos e scripts do PowerShell, escrever arquivos arbitrários no sistema, fazer upload de arquivos para o servidor e enviar informações de heartbeat.
Dada a funcionalidade limitada da ferramenta, suspeita-se que o malware seja usado principalmente para coleta de credenciais e atividades de reconhecimento do sistema.
Evidências mostram que as primeiras iterações do malware foram detectadas em campo tão atrás quanto junho de 2020.
A campanha em si, segundo a DCSO, acredita-se estar ativa desde pelo menos outubro de 2020.
A última amostra descoberta pela Kaspersky, carregada no VirusTotal em julho de 2023, se passa por OpenVPN Connect ("OpenVPNConnect.pkg"), que, ao iniciar, estabelece contato com um servidor C2 especificado no backdoor para executar quatro comandos básicos que são semelhantes aos de sua contraparte Windows:
-Executar comandos de shell (por exemplo, informações do sistema, endereço IP local, lista de aplicativos instalados, dados do DingTalk, Google Password Manager e WeChat);
-Escrever um arquivo no disco;
-Enviar um arquivo para o servidor C2;
-Verificar a disponibilidade de uma vítima.
"O malware tenta obter o WeChatID da vítima, e-mail e número de telefone do WeChat", disse Puzan.
Quanto ao DingTalk, os atacantes estão interessados em dados mais detalhados da vítima: Nome da organização e departamento onde o usuário trabalha, nome de usuário, e-mail corporativo, [e] número de telefone.
Análises adicionais da infraestrutura de ataque revelaram que quase todos os servidores C2 estão localizados na China, com exceção de dois, que estão baseados nos EUA e na Holanda.
Além disso, o arquivo ZIP contendo o pacote de instalação do macOS ("OpenVPNConnect.zip") é dito ter sido previamente baixado de um domínio pertencente a um desenvolvedor de videogames chinês chamado miHoYo, que é conhecido por Genshin Impact e Honkai.
Atualmente, não está claro como o arquivo foi carregado para o domínio em questão ("vpn.mihoyo[.]com") e se o servidor foi comprometido em algum momento no passado.
Também é indeterminado quão ampla é a campanha, mas o fato de o backdoor estar sendo usado mesmo após todos esses anos aponta para um certo grau de sucesso.
"A versão macOS do HZ Rat que encontramos mostra que os atores de ameaça por trás dos ataques anteriores ainda estão ativos", disse Puzan.
Durante a investigação, o malware estava apenas coletando dados do usuário, mas poderia mais tarde ser usado para mover-se lateralmente pela rede da vítima, como sugerido pela presença de endereços IP privados em algumas amostras.
Publicidade
Aprenda a criar dispositivos incríveis com o especialista Júlio Della Flora. Tenha acesso a aulas prática que te ensinarão o que há de mais moderno em gadgets de hacking e pentest. Se prepare para o mercado de pentest físico e de sistemas embarcados através da certificação SYH2. Saiba mais...