Malware camuflado em ferramenta de VPN
30 de Agosto de 2024

Atores de ameaças visam organizações do Oriente Médio com malware disfarçado de ferramenta legítima Palo Alto GlobalProtect, que pode roubar dados e executar comandos remote PowerShell para infiltrar ainda mais nas redes internas.

Palo Alto GlobalProtect é uma solução de segurança legítima oferecida pela Palo Alto Networks que proporciona acesso seguro à VPN com suporte a autenticação multifatorial.

Organizações usam amplamente o produto para garantir que empregados remotos, contratados e parceiros possam acessar de forma segura recursos de rede privada.

Usar o Palo Alto GlobalProtect como isca mostra que o foco dos atacantes está em entidades corporativas de alto valor que usam software empresarial, em vez de usuários aleatórios.

Pesquisadores da Trend Micro que descobriram esta campanha não têm insights sobre como o malware é entregue, mas, com base na isca usada, acreditam que o ataque começa com um e-mail de phishing.

A vítima executa um arquivo chamado 'setup.exe' no seu sistema, que implementa um arquivo denominado 'GlobalProtect.exe' junto com arquivos de configuração.

Neste estágio, uma janela que se assemelha a um processo de instalação normal do GlobalProtect aparece, mas o malware é carregado silenciosamente no sistema em segundo plano.

Após a execução, ele verifica sinais de estar sendo executado em um sandbox antes de executar seu código primário.

Em seguida, transmite informações de perfil sobre a máquina violada para o servidor de comando e controle (C2).

Como uma camada adicional de evasão, o malware usa criptografia AES em suas strings e pacotes de dados a serem exfiltrados para o C2.

O endereço do C2 visto pela Trend Micro usava uma URL recém-registrada contendo a string "sharjahconnect", fazendo parecer como um portal de conexão VPN legítimo para escritórios baseados em Sharjah, nos Emirados Árabes Unidos.

Considerando o escopo de direcionamento da campanha, essa escolha ajuda os atores de ameaças a se misturarem com operações normais e reduzir bandeiras vermelhas que poderiam levantar a suspeita da vítima.

Beacons enviados em intervalos periódicos são empregados para comunicar o status do malware com os atores de ameaças na fase pós-infecção usando a ferramenta open-source Interactsh.

Embora o Interactsh seja uma ferramenta open-source legítima comumente usada por pentesters, seu domínio relacionado, oast.fun, também foi observado em operações de nível APT no passado, como nas campanhas do APT28.

Contudo, não foi atribuída nenhuma autoria nesta operação usando o isca do produto Palo Alto.

Os comandos recebidos do servidor de comando e controle são:

time to reset: Pausa operações do malware por uma duração especificada.
pw: Executa um script PowerShell e envia o resultado para o servidor do atacante.
pr wtime: Lê ou escreve um tempo de espera em um arquivo.
pr create-process: Inicia um novo processo e retorna o output.
pr dnld: Baixa um arquivo de uma URL especificada.
pr upl: Faz upload de um arquivo para um servidor remoto.
invalid command type: Retorna essa mensagem se um comando não reconhecido ou errôneo é encontrado.

A Trend Micro observa que, embora os atacantes permaneçam desconhecidos, a operação parece altamente direcionada, usando URLs personalizadas para as entidades alvo e domínios C2 recém-registrados para evadir blocklists.

Publicidade

Não compre curso de Pentest

Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...