Pesquisadores de cibersegurança revelaram uma nova campanha de malware que entrega artefatos do Hijack Loader assinados com certificados legítimos de assinatura de código.
A empresa francesa de cibersegurança HarfangLab, que detectou a atividade no início do mês, afirmou que as cadeias de ataque visam implantar um ladrão de informações conhecido como Lumma.
Hijack Loader, também conhecido como DOILoader, IDAT Loader e SHADOWLADDER, veio à tona pela primeira vez em setembro de 2023.
Cadeias de ataque envolvendo o carregador de malware tipicamente envolvem enganar usuários para baixarem um binário armadilhado sob a fachada de software ou filmes piratas.
Variações recentes dessas campanhas foram encontradas direcionando usuários para páginas falsas de CAPTCHA que incitam os visitantes do site a provar que são humanos copiando e executando um comando PowerShell codificado que solta o payload malicioso em forma de um arquivo ZIP.
A HarfangLab disse ter observado três versões diferentes do script PowerShell a partir de meados de setembro de 2024:
- Um script PowerShell que utiliza mshta.exe para executar código hospedado em um servidor remoto.
- Um script PowerShell hospedado remotamente que é executado diretamente via o cmdlet Invoke-Expression (conhecido como iex).
- Um script PowerShell que emprega msiexec.exe para baixar e executar um payload útil de uma URL remota.
O arquivo ZIP, por sua vez, inclui um executável genuíno que está suscetível ao DLL side-loading e a DLL maliciosa (ou seja, Hijack Loader) que será carregada em seu lugar.
"O propósito do HijackLoader DLL sideloaded é descriptografar e executar um arquivo criptografado fornecido no pacote", disse a HarfangLab.
Este arquivo oculta a etapa final do HijackLoader, que visa baixar e executar um implante stealer.
O mecanismo de entrega teria mudado de DLL side-loading para usar vários binários assinados no início de outubro de 2024 na tentativa de evadir a detecção por software de segurança.
Atualmente não está claro se todos os certificados de assinatura de código foram roubados ou intencionalmente gerados pelos próprios atores de ameaças, embora a firma de cibersegurança tenha avaliado com baixa a média confiança que poderia ser o último caso.
Os certificados foram desde então revogados.
"Para várias autoridades emissoras de certificados, notamos que adquirir e ativar um certificado de assinatura de código é principalmente automatizado e requer apenas um número válido de registro da empresa, bem como uma pessoa de contato", disse um comunicado.
Esta pesquisa destaca que malware pode ser assinado, ressaltando que a assinatura de código por si só não pode servir como um indicador de base de confiabilidade.
Este desenvolvimento ocorre enquanto a SonicWall Capture Labs alertava para um aumento em ataques cibernéticos infectando máquinas Windows com um malware denominado CoreWarrior.
"Este é um trojan persistente que tenta se espalhar rapidamente criando dezenas de cópias de si mesmo e alcançando múltiplos endereços IP, abrindo múltiplos sockets para acesso por backdoor e interceptando elementos da UI do Windows para monitoramento", disseram os pesquisadores.
Campanhas de phishing também foram observadas entregando um stealer e loader malware conhecido como XWorm por meio de um Arquivo de Script Windows (WSF) que, por sua vez, baixa e executa um script PowerShell hospedado em paste[.]ee.
O script PowerShell subsequente lança um Script Visual Basic, que atua como um conduto para executar uma série de scripts batch e PowerShell para carregar uma DLL maliciosa responsável por injetar XWorm em um processo legítimo ("RegSvcs.exe").
A versão mais recente do XWorm (versão 5.6) inclui a capacidade de relatar tempo de resposta, coletar capturas de tela, ler e modificar o arquivo host da vítima, realizar um ataque de negação de serviço (DoS) contra um alvo e remover plugins armazenados, indicando uma tentativa de evitar deixar um rastro forense.
"XWorm é uma ferramenta multifacetada que pode fornecer uma ampla gama de funções para o atacante", disse o pesquisador de segurança da Netskope Threat Labs, Jan Michael Alcantara.
Publicidade
Em nenhum outro momento você conseguirá pagar tão pouco em um treinamento e certificação Solyd. A Solyd não te oferece um simples curso online. Mas sim uma experiência completa de aulas com três profissionais que vivem e trabalham como um hacker 24 horas por dia, que se dedicam durante todo ano a tirar seus sonhos de criança do papel. Ter algo desse nível era impossível há apenas 10 anos atrás, e hoje conseguimos entregar o melhor programa de educação em hacking do mundo. O melhor dia para começar sempre foi HOJE. Saiba mais...