Nova Campanha de Malware DEEP#GOSU Mira Usuários do Windows com Táticas Avançadas
19 de Março de 2024

Uma nova campanha de ataque elaborada foi observada empregando malware PowerShell e VBScript para infectar sistemas Windows e coletar informações sensíveis.

A empresa de cibersegurança Securonix, que denominou a campanha DEEP#GOSU, disse que é provável que esteja associada ao grupo patrocinado pelo estado da Coreia do Norte rastreado como Kimsuky.

"As payloads do malware usadas no DEEP#GOSU representam uma ameaça sofisticada e multi-estágio projetada para operar de forma furtiva nos sistemas Windows, especialmente do ponto de vista de monitoramento de rede", disseram os pesquisadores de segurança Den Iuzvyk, Tim Peck e Oleg Kolesnikov em uma análise técnica compartilhada com o The Hacker News.

"Suas capacidades incluem registro de teclas, monitoramento de área de transferência, execução de payload dinâmica, exfiltração de dados e persistência, usando tanto software RAT para acesso remoto completo, tarefas agendadas, quanto scripts PowerShell de autoexecução usando trabalhos."

Um aspecto notável do procedimento de infecção é que ele utiliza serviços legítimos como Dropbox ou Google Docs para comando e controle (C2), permitindo assim que o ator da ameaça se misture de forma indetectável ao tráfego regular da rede.

Além disso, o uso de tais serviços em nuvem para preparar as payloads permite a atualização da funcionalidade do malware ou a entrega de módulos adicionais.

O ponto de partida é dito ser um anexo de e-mail malicioso contendo um arquivo ZIP com um arquivo de atalho falso (.LNK) que se disfarça como um arquivo PDF ("IMG_20240214_0001.pdf.lnk").

O arquivo .LNK vem incorporado com um script PowerShell e um documento PDF isca, com o primeiro também se conectando a uma infraestrutura do Dropbox controlada pelo ator para recuperar e executar outro script PowerShell ("ps.bin").

O script PowerShell de segunda fase, por sua vez, busca um novo arquivo do Dropbox ("r_enc.bin"), um arquivo de assembly .NET em forma binária que é na verdade um trojan de acesso remoto de código aberto conhecido como TruRat (também conhecido como TutRat ou C# RAT) com capacidades de gravar teclas, gerenciar arquivos e facilitar o controle remoto.

Vale a pena notar que o Kimsuky empregou o TruRat em pelo menos duas campanhas descobertas pelo AhnLab Security Intelligence Center (ASEC) no ano passado.

Também recuperado pelo script PowerShell do Dropbox é um VBScript ("info_sc.txt"), que, por sua vez, é projetado para executar código VBScript arbitrário recuperado do serviço de armazenamento em nuvem, incluindo um script PowerShell ("w568232.ps12x").

O VBScript também é projetado para usar o Windows Management Instrumentation (WMI) para executar comandos no sistema e configurar tarefas agendadas no sistema para persistência.

Outro aspecto notável do VBScript é o uso do Google Docs para recuperar dinamicamente os dados de configuração para a conexão do Dropbox, permitindo que o ator da ameaça mude as informações da conta sem ter que alterar o script em si.

O script PowerShell baixado como resultado está equipado para coletar informações extensas sobre o sistema e exfiltrar os detalhes por meio de uma solicitação POST para o Dropbox.

"O propósito deste script parece ser projetado para servir como uma ferramenta para comunicação periódica com um servidor de comando e controle (C2) via Dropbox", disseram os pesquisadores.

"Seus principais propósitos incluem criptografar e exfiltrar ou baixar dados." Em outras palavras, ele atua como uma backdoor para controlar os hosts comprometidos e manter continuamente um registro da atividade do usuário, incluindo teclas digitadas, conteúdo da área de transferência e a janela em primeiro plano.

O desenvolvimento ocorre quando o pesquisador de segurança Ovi Liber detalhou o embutimento de código malicioso da ScarCruft, vinculado à Coreia do Norte, dentro de documentos de isca do Hangul Word Processor (HWP) presentes em e-mails de phishing para distribuir malwares como o RokRAT.

"O e-mail contém um Doc HWP que tem um objeto OLE embutido na forma de um script BAT", disse Liber.

"Uma vez que o usuário clica no objeto OLE, o script BAT executa, o que por sua vez cria um ataque de injeção de DLL reflexiva baseada em PowerShell na máquina da vítima." Segue-se também a exploração da Andariel de uma solução legítima de desktop remoto chamada MeshAgent para instalar malwares como AndarLoader e ModeLoader, um malware JavaScript destinado à execução de comandos.

"Esta é a primeira utilização confirmada de um MeshAgent pelo grupo Andariel", disse a ASEC.

"O Grupo Andariel tem abusado continuamente das soluções de gestão de ativos de empresas domésticas para distribuir malware no processo de movimento lateral, a começar pelo Innorix Agent no passado." Andariel, também conhecida pelos nomes Nicket Hyatt ou Silent Chollima, é um subgrupo dentro do notório Lazarus Group, ativamente orquestrando ataques tanto para espionagem cibernética quanto para ganhos financeiros.

O prolífico ator de ameaças patrocinadas pelo Estado tem sido observado lavando uma parte dos ativos cripto roubados do hack da exchange de criptografia HTX e sua ponte cross-chain (também conhecida como HECO Bridge) através do Tornado Cash.

A violação resultou no roubo de US$ 112,5 milhões em criptomoeda em novembro de 2023.

"Seguindo padrões comuns de lavagem de cripto, os tokens roubados foram imediatamente trocados por ETH, usando trocas descentralizadas", disse a Elliptic.

"Os fundos roubados então ficaram dormentes até 13 de março de 2024, quando os ativos cripto roubados começaram a ser enviados através do Tornado Cash."

A empresa de análise de blockchain disse que a continuação das operações do Tornado Cash apesar das sanções provavelmente o tornou uma proposta atraente para o Grupo Lazarus ocultar seu rastro de transações após o fechamento do Sinbad em novembro de 2023.

"O mixer opera por meio de contratos inteligentes rodando em blockchains descentralizadas, por isso não pode ser apreendido e encerrado da mesma forma que os mixers centralizados como o Sinbad.io foram", ressaltou.

Publicidade

Pentest do Zero ao Profissional

O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...