Malware usa certificados legítimos
15 de Outubro de 2024

Pesquisadores de cibersegurança revelaram uma nova campanha de malware que entrega artefatos do Hijack Loader assinados com certificados legítimos de assinatura de código.

A empresa francesa de cibersegurança HarfangLab, que detectou a atividade no início do mês, afirmou que as cadeias de ataque visam implantar um ladrão de informações conhecido como Lumma.

Hijack Loader, também conhecido como DOILoader, IDAT Loader e SHADOWLADDER, veio à tona pela primeira vez em setembro de 2023.

Cadeias de ataque envolvendo o carregador de malware tipicamente envolvem enganar usuários para baixarem um binário armadilhado sob a fachada de software ou filmes piratas.

Variações recentes dessas campanhas foram encontradas direcionando usuários para páginas falsas de CAPTCHA que incitam os visitantes do site a provar que são humanos copiando e executando um comando PowerShell codificado que solta o payload malicioso em forma de um arquivo ZIP.

A HarfangLab disse ter observado três versões diferentes do script PowerShell a partir de meados de setembro de 2024:

- Um script PowerShell que utiliza mshta.exe para executar código hospedado em um servidor remoto.
- Um script PowerShell hospedado remotamente que é executado diretamente via o cmdlet Invoke-Expression (conhecido como iex).
- Um script PowerShell que emprega msiexec.exe para baixar e executar um payload útil de uma URL remota.

O arquivo ZIP, por sua vez, inclui um executável genuíno que está suscetível ao DLL side-loading e a DLL maliciosa (ou seja, Hijack Loader) que será carregada em seu lugar.

"O propósito do HijackLoader DLL sideloaded é descriptografar e executar um arquivo criptografado fornecido no pacote", disse a HarfangLab.

Este arquivo oculta a etapa final do HijackLoader, que visa baixar e executar um implante stealer.
O mecanismo de entrega teria mudado de DLL side-loading para usar vários binários assinados no início de outubro de 2024 na tentativa de evadir a detecção por software de segurança.

Atualmente não está claro se todos os certificados de assinatura de código foram roubados ou intencionalmente gerados pelos próprios atores de ameaças, embora a firma de cibersegurança tenha avaliado com baixa a média confiança que poderia ser o último caso.

Os certificados foram desde então revogados.

"Para várias autoridades emissoras de certificados, notamos que adquirir e ativar um certificado de assinatura de código é principalmente automatizado e requer apenas um número válido de registro da empresa, bem como uma pessoa de contato", disse um comunicado.

Esta pesquisa destaca que malware pode ser assinado, ressaltando que a assinatura de código por si só não pode servir como um indicador de base de confiabilidade.

Este desenvolvimento ocorre enquanto a SonicWall Capture Labs alertava para um aumento em ataques cibernéticos infectando máquinas Windows com um malware denominado CoreWarrior.

"Este é um trojan persistente que tenta se espalhar rapidamente criando dezenas de cópias de si mesmo e alcançando múltiplos endereços IP, abrindo múltiplos sockets para acesso por backdoor e interceptando elementos da UI do Windows para monitoramento", disseram os pesquisadores.

Campanhas de phishing também foram observadas entregando um stealer e loader malware conhecido como XWorm por meio de um Arquivo de Script Windows (WSF) que, por sua vez, baixa e executa um script PowerShell hospedado em paste[.]ee.

O script PowerShell subsequente lança um Script Visual Basic, que atua como um conduto para executar uma série de scripts batch e PowerShell para carregar uma DLL maliciosa responsável por injetar XWorm em um processo legítimo ("RegSvcs.exe").

A versão mais recente do XWorm (versão 5.6) inclui a capacidade de relatar tempo de resposta, coletar capturas de tela, ler e modificar o arquivo host da vítima, realizar um ataque de negação de serviço (DoS) contra um alvo e remover plugins armazenados, indicando uma tentativa de evitar deixar um rastro forense.

"XWorm é uma ferramenta multifacetada que pode fornecer uma ampla gama de funções para o atacante", disse o pesquisador de segurança da Netskope Threat Labs, Jan Michael Alcantara.

Publicidade

Black November Solyd 2024

Em nenhum outro momento você conseguirá pagar tão pouco em um treinamento e certificação Solyd. A Solyd não te oferece um simples curso online. Mas sim uma experiência completa de aulas com três profissionais que vivem e trabalham como um hacker 24 horas por dia, que se dedicam durante todo ano a tirar seus sonhos de criança do papel. Ter algo desse nível era impossível há apenas 10 anos atrás, e hoje conseguimos entregar o melhor programa de educação em hacking do mundo. O melhor dia para começar sempre foi HOJE. Saiba mais...