Pesquisadores de cibersegurança revelaram detalhes sobre um ataque cibernético incomum que tirou proveito de malware com cabeçalhos DOS e PE corrompidos, segundo novas descobertas da Fortinet.
Os cabeçalhos DOS (Disk Operating System) e PE (Portable Executable) são partes essenciais de um arquivo PE Windows, fornecendo informações sobre o executável.
Enquanto o cabeçalho DOS torna o arquivo executável retrocompatível com MS-DOS e permite que seja reconhecido como um executável válido pelo sistema operacional, o cabeçalho PE contém os metadados e informações necessárias para o Windows carregar e executar o programa.
"Descobrimos malware que estava em operação em uma máquina comprometida por várias semanas," disseram os pesquisadores Xiaopeng Zhang e John Simmons da Equipe de Resposta a Incidentes da FortiGuard, em um relatório compartilhado com a imprensa.
O ator de ameaça executou um lote de scripts e PowerShell para rodar o malware em um processo do Windows.
A Fortinet disse que, embora não tenha sido capaz de extrair o malware em si, conseguiu obter um dump de memória do processo de malware em execução e um dump de memória completo da máquina comprometida.
Em uma declaração compartilhada com a publicação, a empresa afirmou que observou o comportamento em um incidente isolado envolvendo atividade de ransomware e que a ameaça foi neutralizada antes que qualquer ransomware pudesse ser implantado.
"O ator de ameaça obteve acesso inicial por meio da infraestrutura de acesso remoto e tentou distribuir malware usando um script PowerShell executado via PsExec, no entanto, o próprio script não foi recuperado durante a investigação," acrescentou.
O malware, em execução dentro de um processo dllhost.exe, é um arquivo PE de 64 bits com cabeçalhos DOS e PE corrompidos em uma tentativa de desafiar os esforços de análise e reconstruir o payload a partir da memória.
Apesar desses obstáculos, a empresa de cibersegurança observou que conseguiu desmontar o malware despejado em um ambiente controlado local, replicando o ambiente do sistema comprometido após "múltiplas tentativas, erros e correções repetidas.
Uma vez executado, o malware descriptografa informações de domínio de comando e controle (C2) armazenadas na memória e, em seguida, estabelece contato com o servidor ("rushpapers[.]com") em uma ameaça recém-criada.
"Após lançar a thread, a thread principal entra em estado de suspensão até que a thread de comunicação complete sua execução," disseram os pesquisadores.
O malware se comunica com o servidor C2 por meio do protocolo TLS.
Análises posteriores determinaram que o malware é um trojan de acesso remoto (RAT) com capacidades para capturar screenshots; enumerar e manipular os serviços do sistema no host comprometido; e até agir como um servidor para aguardar conexões "cliente" entrantes.
"Ele implementa uma arquitetura de socket multithreaded: cada vez que um novo cliente (atacante) conecta, o malware gera uma nova thread para lidar com a comunicação," disse a Fortinet.
Este design permite sessões concorrentes e suporta interações mais complexas.
Ao operar neste modo, o malware efetivamente transforma o sistema comprometido em uma plataforma de acesso remoto, permitindo ao atacante lançar mais ataques ou realizar diversas ações em nome da vítima.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...