Injetor Freeze[.]rs Armado para Ataques de Malware XWorm
11 de Agosto de 2023

Atores mal-intencionados estão usando um injetor legítimo baseado em Rust chamado Freeze[.]rs para implantar um malware comum chamado XWorm no ambiente das vítimas.

A nova cadeia de ataques, detectada pelos laboratórios Fortinet FortiGuard em 13 de julho de 2023, é iniciada por meio de um e-mail de phishing contendo um arquivo PDF armadilhado.

Este também foi usado para introduzir o RAT Remcos por meio de um criptografante chamado SYK Crypter, que foi documentado pela primeira vez pela Morphisec em maio de 2022.

"Este arquivo redireciona para um arquivo HTML e utiliza o protocolo 'search-ms' para acessar um arquivo LNK em um servidor remoto", disse a pesquisadora de segurança Cara Lin.

"Ao clicar no arquivo LNK, um script PowerShell executa o Freeze[.]rs e o SYK Crypter para mais ações ofensivas."

Freeze[.]rs, lançado em 4 de maio de 2023, é uma ferramenta de código aberto da red team da Optiv que funciona como uma ferramenta de criação de payload usada para contornar soluções de segurança e executar shellcode de maneira furtiva.

"Freeze[.]rs utiliza várias técnicas não apenas para remover ganchos Userland EDR, mas também para executar shellcode de tal forma que contorne outros controles de monitoramento de endpoint", segundo uma descrição compartilhada no GitHub.

O SYK Crypter, por outro lado, é uma ferramenta usada para distribuir uma grande variedade de famílias de malware, como AsyncRAT, NanoCore RAT, njRAT, QuasarRAT, RedLine Stealer e Warzone RAT (também conhecido como Ave Maria).

Ele é recuperado da rede de entrega de conteúdo (CDN) do Discord por meio de um loader .NET anexado a e-mails que se disfarçam como pedidos de compra benignos.

"Essa cadeia de ataque distribui um criptografante persistente, com vários níveis de ofuscação, e usa polimorfismo para manter a capacidade de evitar a detecção por soluções de segurança", explicou o pesquisador da Morphisec, Hido Cohen.

Vale a pena observar que o abuso do manipulador do protocolo URI "search-ms" foi destacado recentemente pela Trellix, que descobriu sequências de infecção suportando anexos HTML ou PDF para realizar pesquisas em um servidor controlado pelo invasor e listar arquivos maliciosos no Windows File Explorer como se fossem resultados de pesquisa locais.

Os resultados da Fortinet não são diferentes, pois os arquivos são camuflados como arquivos PDF, mas na verdade são arquivos LNK que executam um script do PowerShell para iniciar o injetor baseado em Rust, enquanto exibem um documento PDF de isca.

Na fase final, o shellcode injetado é descriptografado para executar o trojan de acesso remoto XWorm e colher dados sensíveis, como informações da máquina, capturas de tela e teclas digitadas, e controlar remotamente o dispositivo comprometido.

O fato de um programa com três meses de idade já estar sendo usado em ataques simboliza a adoção rápida de ferramentas ofensivas por atores mal-intencionados para atingir seus objetivos.

O script PowerShell, além de carregar o injetor, está configurado para executar outro executável, que funciona como um dropper contatando um servidor remoto para buscar o SYK Crypter contendo o malware Remcos RAT criptografado.

"A combinação do XWorm e do Remcos cria um trojan formidável com uma série de funcionalidades maliciosas", disse Lin. "O relatório de tráfego do servidor C2 [...] revela Europa e América do Norte como os principais alvos dessa campanha maliciosa."

Publicidade

Pentest do Zero ao Profissional

O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...