Uma nova variante do malware RomCom chamada SnipBot foi utilizada em ataques que se espalham pela rede para roubar dados de sistemas comprometidos.
Pesquisadores da Unit 42 da Palo Alto Networks descobriram a nova versão do malware após analisarem um módulo DLL utilizado nos ataques do SnipBot.
As campanhas mais recentes do SnipBot parecem mirar uma variedade de vítimas em diversos setores, incluindo serviços de TI, jurídico e agricultura, com o objetivo de roubar dados e se espalhar pela rede.
O RomCom é um backdoor que foi usado para entregar o ransomware Cuba em múltiplas campanhas de malvertising [1, 2], bem como para operações de phishing direcionado [1, 2].
Sua versão anterior, batizada de RomCom 4.0 pelos pesquisadores da Trend Micro no final de 2023, era mais leve e discreta em comparação com variantes anteriores, mas manteve um conjunto robusto de comandos.
As capacidades do RomCom 4.0 incluíam execução de comandos, roubo de arquivos, distribuição de novos payloads úteis, modificação do registro do Windows e uso do protocolo TLS, mais seguro, para comunicações de comando e controle (C2).
O SnipBot, que a Unit 42 considera ser o RomCom 5.0, emprega um conjunto ampliado de 27 comandos.
Esses comandos oferecem ao operador um controle mais granular sobre as operações de exfiltração de dados, permitindo definir tipos específicos de arquivos ou diretórios a serem visados, compressão dos dados roubados usando a ferramenta de arquivamento de arquivos 7-Zip, e também introduzindo payloads úteis de arquivo para serem extraídas no hospedeiro para evasão.
Além disso, o SnipBot agora emprega ofuscação de fluxo de controle baseada em mensagens de janela, dividindo seu código em blocos acionados em sequência por mensagens de janela customizadas.
Novas técnicas anti-sandboxing incluem verificações de hash no executável e no processo criado e verificando a existência de pelo menos 100 entradas em "RecentDocs" e 50 sub-chaves em chaves do registro "Shell Bags".
Vale também mencionar que o módulo principal do SnipBot, "single.dll", é armazenado de forma criptografada no Registro do Windows, de onde é carregado na memória.
Módulos adicionais baixados do servidor C2, como "keyprov.dll", também são descriptografados e executados na memória.
A Unit 42 conseguiu recuperar artefatos de ataque a partir de submissões ao VirusTotal, o que lhes permitiu rastrear até o vetor de infecção inicial para o SnipBot.
Tipicamente, isso começa com emails de phishing contendo links para o download de arquivos aparentemente inofensivos, como documentos PDF, elaborados para levar o destinatário a clicar no link.
Os pesquisadores também descrevem um vetor inicial um pouco mais antigo envolvendo um site falso da Adobe de onde a vítima deveria baixar uma fonte ausente para poder ler o arquivo PDF anexado.
Fazer isso desencadeia uma série de redirecionamentos através de múltiplos domínios sob controle do atacante ("fastshare[.]click", "docstorage[.]link" e "publicshare[.]link"), entregando finalmente um downloader executável malicioso de plataformas de compartilhamento de arquivos como "temp[.]sh".
Os downloaders são frequentemente assinados usando certificados legítimos para não acionar alertas das ferramentas de segurança da vítima ao buscar executáveis ou arquivos DLL do C2.
Uma tática comum para carregar esses payloads é usar o sequestro de COM para injetá-las em "explorer.exe", o que também garante persistência entre reinicializações do sistema.
Após comprometer um sistema, o ator de ameaças coleta informações sobre a rede da empresa e o controlador de domínio.
Em seguida, eles roubam tipos específicos de arquivos dos diretórios Documentos, Downloads e OneDrive.
A Unit 42 diz que uma segunda fase de descoberta segue usando a utilidade AD Explorer que permite visualizar e editar o Active Directory (AD) bem como navegar pelo banco de dados do AD.
Dados visados são exfiltrados usando o cliente PuTTY Secure Copy após serem arquivados com o WinRAR.
Os pesquisadores dizem que o objetivo do atacante permanece incerto devido ao conjunto de vítimas visadas nos ataques do SnipBot e RomCom, mas suspeitam que o objetivo do ator de ameaças tenha passado de ganho financeiro para operações de espionagem.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...