Um ator de ameaças identificado como Unfurling Hemlock tem infectado sistemas alvo com até dez tipos de malware simultaneamente em campanhas que distribuem centenas de milhares de arquivos maliciosos.
Pesquisadores de segurança descrevem o método de infecção como uma "bomba cluster de malwares", que permite ao ator de ameaça usar uma amostra de malware para espalhar outros adicionais na máquina comprometida.
Os tipos de malware entregues desta forma incluem stealers de informações, botnets e backdoors.
A operação foi descoberta pelo KrakenLabs, da Outpost24, a equipe de Cyber Threat Intelligence da empresa de segurança, que diz que a atividade data desde pelo menos fevereiro de 2023 e usa um método de distribuição distinto.
O KrakenLabs identificou mais de 50.000 arquivos "bomba cluster" que compartilham características únicas, ligando-os ao grupo Unfurling Hemlock.
Os ataques começam com a execução de um arquivo chamado 'WEXTRACT.EXE', que chega aos dispositivos alvo através de e-mails maliciosos ou malware loaders aos quais o Unfurling Hemlock tem acesso contratando seus operadores.
O executável malicioso contém arquivos de gabinete comprimidos aninhados, com cada nível contendo uma amostra de malware e outro arquivo comprimido.
Cada etapa de descompactação solta uma variante de malware na máquina da vítima.
Quando a fase final é alcançada, os arquivos extraídos são executados em ordem inversa, ou seja, o malware extraído mais recentemente é executado primeiro.
O KrakenLabs observou entre quatro e sete estágios, o que significa que o número de etapas e a quantidade de malware entregue durante os ataques Unfurling Hemlock varia.
Das amostras analisadas, os pesquisadores deduziram que mais da metade de todos os ataques Unfurling Hemlock visavam sistemas nos Estados Unidos, enquanto atividades com volumes relativamente altos também foram vistas na Alemanha, Rússia, Turquia, Índia e Canadá.
Soltar múltiplos payloads em um sistema comprometido confere aos atores de ameaças altos níveis de redundância, proporcionando mais persistência e oportunidades de monetização.
Apesar da desvantagem de arriscar a detecção, muitos atores de ameaças seguem essa estratégia agressiva, esperando que pelo menos alguns de seus payloads sobrevivam ao processo de limpeza.
No caso de Unfurling Hemlock, os analistas do KrakenLabs observaram o seguinte malware, loaders e utilitários soltos nas máquinas das vítimas:
- Redline: Um malware stealer popular que extrai informações sensíveis como credenciais, dados financeiros e carteiras de criptomoeda.
Pode roubar dados de navegadores web, clientes FTP e clientes de e-mail.
- RisePro: Um stealer relativamente novo em ascensão, focado no roubo de credenciais e exfiltração de dados.
Mira em informações de navegador, carteiras de criptomoeda e outros dados pessoais.
- Mystic Stealer: Opera no modelo Malware-as-a-Service (MaaS), capaz de roubar dados de diversos navegadores e extensões, carteiras de criptomoeda e aplicativos como Steam e Telegram.
- Amadey: Um loader feito sob medida usado para baixar e executar malware adicional.
Está no mercado desde 2018 e é usado em várias campanhas para distribuir diversos malwares.
- SmokeLoader: Um loader e backdoor versátil conhecido por seu uso prolongado em cibercrime.
É frequentemente utilizado para baixar outros tipos de malware e pode disfarçar seu tráfego C2 imitando solicitações a sites legítimos.
- Disabler de proteção: Um utilitário projetado para desativar o Windows Defender e outras funcionalidades de segurança no sistema da vítima, modificando chaves de registro e configurações do sistema para reduzir as defesas do sistema.
- Enigma Packer: Uma ferramenta de ofuscação usada para empacotar e esconder os payloads do malware real, tornando a detecção e análise de malware mais difícil para soluções de segurança.
- Healer.exe: Outro utilitário focado em desativar medidas de segurança, visando especificamente desativar o Windows Defender.
- Verificador de desempenho: Um utilitário para verificar e registrar o desempenho da execução do malware, coletando informações estatísticas sobre o sistema da vítima e o sucesso do processo de infecção.
- Outros: Utilitários que abusam de ferramentas nativas do Windows, como 'wmiadap.exe' e 'wmiprvse.exe', para coletar informações do sistema.
O relatório do KrakenLabs não aprofunda nas vias de monetização ou atividade pós-comprometimento, mas pode-se assumir que Unfurling Hemlock vende "logs" de info-stealer e acesso inicial a outros atores de ameaças.
Com base nas evidências descobertas durante a investigação, os pesquisadores acreditam com "um grau razoável de certeza" que Unfurling Hemlock é baseado em um país do Leste Europeu.
Duas indicações dessa origem são a presença da língua russa em algumas das amostras e o uso do Sistema Autônomo 203727, relacionado a um serviço de hospedagem popular entre gangues cibernéticas da região.
A Outpost24 recomenda que os usuários escaneiem arquivos baixados usando ferramentas antivírus atualizadas antes de executá-los, já que todo malware solto nesta campanha é bem documentado e possui assinaturas conhecidas.
Publicidade
Imagine voltar ao tempo dos e-zines e poder desfrutar de uma boa revista contendo as últimas novidades, mas na pegada hacking old school.
Acesse gratuitamente o Cyberpunk Guide e fique por dentro dos mais modernos dispositivos usados pelos hackers.
Saiba mais...