O malware downloader JavaScript conhecido como SocGholish (também conhecido como FakeUpdates) está sendo usado para entregar um trojan de acesso remoto chamado AsyncRAT, bem como um projeto de código aberto legitimamente chamado BOINC.
BOINC, abreviatura de Berkeley Open Infrastructure Network Computing Client, é uma plataforma de "computação voluntária" de código aberto mantida pela Universidade da Califórnia com o objetivo de realizar "computação de alto throughput distribuída em larga escala" usando computadores domésticos participantes nos quais o aplicativo está instalado.
"É semelhante a um minerador de criptomoedas da forma como (usa recursos computacionais para realizar o trabalho), e na verdade é projetado para recompensar os usuários com um tipo específico de criptomoeda chamada Gridcoin, desenhada para esse propósito," disseram os pesquisadores da Huntress Matt Anderson, Alden Schmidt e Greg Linares em um relatório publicado na semana passada.
Estas instalações maliciosas são projetadas para se conectar a um domínio controlado por atores ("rosettahome[.]cn" ou "rosettahome[.]top"), atuando essencialmente como um servidor de comando e controle (C2) para coletar dados do host, transmitir payloads e enviar novos comandos.
Até 15 de julho, 10.032 clientes estão conectados aos dois domínios.
A empresa de cibersegurança disse que, embora não tenha observado nenhuma atividade subsequente ou tarefas sendo executadas pelos hosts infectados, hipotetizou que "as conexões dos hosts poderiam ser vendidas como vetores de acesso inicial para serem usadas por outros atores e potencialmente usadas para executar ransomware."
As sequências de ataque do SocGholish tipicamente começam quando os usuários acessam sites comprometidos, onde são induzidos a baixar uma falsa atualização de navegador que, ao ser executada, dispara a recuperação de payloads adicionais para as máquinas infiltradas.
O downloader JavaScript, neste caso, ativa duas cadeias distintas, uma que leva à implantação de uma variante sem arquivo do AsyncRAT e a outra resulta na instalação do BOINC.
O aplicativo BOINC, que é renomeado como "SecurityHealthService.exe" ou "trustedinstaller.exe" para evitar detecção, estabelece persistência usando uma tarefa agendada por meio de um script PowerShell.
O uso indevido do BOINC para fins maliciosos não passou despercebido pelos mantenedores do projeto, que atualmente estão investigando o problema e encontrando uma maneira de "derrotar este malware." A evidência do abuso data de pelo menos 26 de junho de 2024.
"A motivação e a intenção do ator de ameaças ao carregar este software nos hosts infectados não são claras neste ponto," disseram os pesquisadores.
Clientes infectados conectando ativamente a servidores BOINC maliciosos apresentam um risco bastante alto, já que há potencial para um ator de ameaças motivado para fazer mau uso desta conexão e executar qualquer número de comandos maliciosos ou softwares no host para escalar privilégios ou se mover lateralmente através de uma rede e comprometer um domínio inteiro.
Este desenvolvimento surge enquanto a Check Point disse que vem acompanhando o uso de JavaScript V8 compilado por autores de malware para contornar detecções estáticas e ocultar trojans de acesso remoto, stealers, loaders, mineradores de criptomoedas, wipers e ransomware.
"Na batalha contínua entre especialistas em segurança e atores de ameaças, os desenvolvedores de malware continuam inventando novos truques para esconder seus ataques," disse o pesquisador de segurança Moshe Marelus.
Não é surpreendente que eles tenham começado a usar V8, já que esta tecnologia é comumente usada para criar software, pois é muito difundida e extremamente difícil de analisar.
Publicidade
O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...