Pesquisadores de cibersegurança identificaram uma nova variante do malware LOTUSLITE, distribuída por meio de uma isca temática ligada ao setor bancário da Índia.
“O backdoor se comunica com um servidor de command-and-control baseado em dynamic DNS via HTTPS e oferece acesso a shell remoto, operações com arquivos e gerenciamento de sessão, o que indica um conjunto de capacidades ainda voltado para espionagem, e não para objetivos financeiros”, afirmaram os pesquisadores da Acronis, Subhajeet Singha e Santiago Pontiroli, em uma análise.
O uso do LOTUSLITE já havia sido observado em ataques de spear-phishing contra entidades do governo e de formulação de políticas dos Estados Unidos, com iscas associadas aos desdobramentos geopolíticos entre EUA e Venezuela.
Na ocasião, a atividade foi atribuída com confiança média a um grupo chinês de ciberespionagem rastreado como Mustang Panda.
A nova atividade identificada pela Acronis envolve a distribuição de uma versão evoluída do LOTUSLITE, com “melhorias incrementais” em relação à anterior, o que indica que o malware continua sendo mantido e aperfeiçoado por seus operadores.
A principal mudança em relação à onda anterior está na escolha do alvo, agora concentrada no setor bancário indiano, embora o restante da operação permaneça praticamente o mesmo.
O ataque começa com um arquivo Compiled HTML, ou CHM, que incorpora os payloads maliciosos, um executável legítimo e uma DLL maliciosa, além de uma página HTML com um pop-up que pede ao usuário para clicar em “Yes”.
Esse passo foi desenhado para baixar e executar silenciosamente um malware em JavaScript a partir de um servidor remoto, “cosmosmusic[.]com”, cuja função principal é extrair e executar o malware contido no arquivo CHM por meio de DLL side-loading.
A DLL, identificada como “dnx.onecore.dll”, é uma versão atualizada do LOTUSLITE que se comunica com o domínio “editor.gleeze[.]com” para receber comandos e exfiltrar dados de interesse.
Análises adicionais da campanha também revelaram artefatos semelhantes voltados a entidades da Coreia do Sul, especialmente pessoas ligadas aos círculos de política e diplomacia.
“Acreditamos que o grupo vinha mirando determinadas entidades das comunidades diplomática e de formulação de políticas da Coreia do Sul e dos Estados Unidos, em especial aquelas envolvidas em assuntos da Península Coreana, discussões sobre a política para a Coreia do Norte e diálogos sobre segurança no Indo-Pacífico”, informou a Acronis.
“O que chama atenção é a ampliação do foco do grupo, de entidades do governo dos EUA com iscas geopolíticas para o setor bancário da Índia, com implantes contendo referências ao HDFC Bank e pop-ups que simulam software bancário legítimo, e agora para círculos de política dos Estados Unidos e da Coreia do Sul, por meio da impersonação de uma figura de destaque na diplomacia da Península Coreana, distribuída por contas Gmail falsificadas e staging no Google Drive.”
Publicidade
Nossa audiência é formada por analistas, pentesters, decisores e entusiastas que consomem nossas notícias todo dia pelo Site, Newsletter e Instagram. Fale com quem realmente importa para o seu negócio. Anuncie aqui. Saiba mais...