Pesquisadores de cibersegurança descobriram um novo loader de malware evasivo chamado SquidLoader, que se propaga por meio de campanhas de phishing direcionadas a organizações chinesas.
Os Laboratórios AT&T LevelBlue, que observaram o malware pela primeira vez no final de abril de 2024, disseram que ele incorpora recursos projetados para impedir análises estáticas e dinâmicas e, em última análise, evitar a detecção.
As cadeias de ataque aproveitam e-mails de phishing que vêm com anexos que se passam por documentos do Microsoft Word, mas, na realidade, são binários que abrem caminho para a execução do malware, que é então usado para buscar payloads de shellcode de segunda fase de um servidor remoto, incluindo Cobalt Strike.
"Esses loaders possuem mecanismos pesados de evasão e isca, que ajudam a permanecerem não detectados e também dificultam a análise," disse o pesquisador de segurança Fernando Dominguez.
O shellcode entregue também é carregado no mesmo processo do loader, provavelmente para evitar escrever o payload no disco e assim correr o risco de ser detectado.
Algumas das técnicas de evasão defensiva adotadas pelo SquidLoader incluem o uso de segmentos de código criptografados, código inútil que permanece não utilizado, ofuscação do Control Flow Graph (CFG), detecção de depuradores e a realização de syscalls diretas em vez de chamar APIs do Windows NT.
O malware tipo loader tornou-se uma mercadoria popular no submundo criminal para atores de ameaças que procuram entregar e lançar payloads adicionais em hosts comprometidos, enquanto contornam defesas antivírus e outras medidas de segurança.
No ano passado, um incidente detalhado pela Aon's Stroz Friedberg revelou um loader conhecido como Taurus Loader que foi observado distribuindo o ladrão de informações Taurus, bem como o AgentVX, um trojan com capacidades para executar mais malware, configurar persistência usando alterações no Registro do Windows e coletar dados.
Este desenvolvimento surge como uma nova análise aprofundada de um loader de malware e backdoor conhecido como PikaBot, que destacou que ele continua sendo ativado pelos seus desenvolvedores desde sua emergência em fevereiro de 2023.
"O malware emprega técnicas anti-análise avançadas para evitar detecção e dificultar a análise, incluindo verificações de sistema, syscalls indiretas, criptografia de próximas fases e strings, e resolução dinâmica de API," disse Sekoia.
As atualizações recentes do malware aumentaram ainda mais suas capacidades, tornando-o ainda mais desafiador de detectar e mitigar. Isso também segue as descobertas da BitSight de que a infraestrutura relacionada a outro malware loader chamado Latrodectus foi desativada na sequência de um esforço de repressão policial denominado Operação Endgame que viu mais de 100 servidores de botnet, incluindo aqueles associados a IcedID, SystemBC, PikaBot, SmokeLoader, Bumblebee e TrickBot, desmantelados.
A empresa de cibersegurança disse que observou quase 5.000 vítimas distintas espalhadas por 10 campanhas diferentes, com a maioria das vítimas localizadas nos EUA, Reino Unido, Países Baixos, Polônia, França, Tchéquia, Japão, Austrália, Alemanha e Canadá.
Publicidade
Imagine voltar ao tempo dos e-zines e poder desfrutar de uma boa revista contendo as últimas novidades, mas na pegada hacking old school.
Acesse gratuitamente o Cyberpunk Guide e fique por dentro dos mais modernos dispositivos usados pelos hackers.
Saiba mais...