Um ator de ameaças anteriormente não documentado, apelidado de Boolka, foi observado comprometendo sites com scripts maliciosos para entregar um trojan modular codinome BMANAGER.
"O ator de ameaça por trás dessa campanha tem realizado ataques de SQL injection oportunísticos contra sites em diversos países desde pelo menos 2022", disseram os pesquisadores da Group-IB, Rustam Mirkasymov e Martijn van den Berk, em um relatório publicado na semana passada.
Nos últimos três anos, os atores de ameaça têm infectado sites vulneráveis com scripts JavaScript maliciosos capazes de interceptar qualquer dado inserido em um site infectado.
Boolka recebeu esse nome do código JavaScript inserido no site que envia sinais para um servidor de comando e controle nomeado "boolka[.]tk" sempre que um visitante desavisado entra no site infectado.
O JavaScript também é projetado para coletar e exfiltrar entradas e interações do usuário em um formato codificado em Base64, indicando o uso do malware para capturar detalhes sensíveis como credenciais e outras informações pessoais.
Além disso, redireciona os usuários para uma página de carregamento falsa que induz as vítimas a baixar e instalar uma extensão de navegador quando, na realidade, baixa um downloader para o trojan BMANAGER, que, por sua vez, tenta buscar o malware de uma URL codificada.
O framework de entrega de malware é baseado no framework BeEF.
O trojan, por sua vez, serve como um conduto para implantar quatro módulos adicionais, incluindo BMBACKUP (coletar arquivos de caminhos particulares), BMHOOK (registrar quais aplicativos estão em execução e têm foco no teclado), BMLOG (registrar pressionamentos de tecla) e BMREADER (exportar dados roubados).
Ele também configura a persistência no hospedeiro usando tarefas agendadas.
"A maioria das amostras faz uso de um banco de dados SQL local", observaram os pesquisadores.
O caminho e nome deste banco de dados são codificados nas amostras para localizar-se em: C:\Users\{user}\AppData\Local\Temp\coollog.db, com user sendo o nome de usuário do usuário logado.
Boolka é o terceiro ator depois de GambleForce e ResumeLooters a aproveitar ataques de SQL injection para roubar dados sensíveis nos últimos meses.
"Começando com ataques de SQL injection oportunísticos em 2022 até o desenvolvimento de sua própria plataforma de entrega de malware e trojans como BMANAGER, as operações de Boolka demonstram que as táticas do grupo se tornaram mais sofisticadas ao longo do tempo," os pesquisadores concluíram.
A injeção de trechos de JavaScript maliciosos em sites vulneráveis para exfiltração de dados, e então o uso do framework BeEF para entrega de malware, reflete o desenvolvimento passo a passo das competências do atacante.
Publicidade
Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...