Novo Backdoor visando Oficiais Europeus ligado a Eventos Diplomáticos Indianos
29 de Fevereiro de 2024

Um ator de ameaças anteriormente não documentado, apelidado de SPIKEDWINE, foi observado alvejando autoridades de países europeus com missões diplomáticas indianas usando um novo backdoor chamado WINELOADER.

O adversário, de acordo com um relatório da Zscaler ThreatLabz, utilizou um arquivo PDF em e-mails que aparentemente vinham do Embaixador da Índia, convidando a equipe diplomática para um evento de degustação de vinhos em 2 de fevereiro de 2024.

O documento PDF foi carregado no VirusTotal da Letônia em 30 de janeiro de 2024.

Dito isto, há indícios de que esta campanha pode ter sido ativa pelo menos desde 6 de julho de 2023, pela descoberta de outro arquivo PDF semelhante carregado do mesmo país.

"O ataque é caracterizado por seu volume muito baixo e as táticas, técnicas e procedimentos avançados (TTPs) empregados no malware e na infraestrutura de comando e controle (C2)", disseram os pesquisadores de segurança Sudeep Singh e Roy Tay.

Central para o novo ataque é o arquivo PDF que vem embutido com um link malicioso que se disfarça de um questionário, instigando os destinatários a preenchê-lo para participar.

Clicar no link abre caminho para um aplicativo HTML ("wine.hta") que contém um código JavaScript ofuscado para recuperar um arquivo ZIP codificado com o WINELOADER do mesmo domínio.

O malware vem com um módulo central projetado para executar módulos do servidor C2, injetar-se em outra biblioteca de link dinâmico (DLL) e atualizar o intervalo de sono entre as solicitações de beacon.

Um aspecto notável das incursões cibernéticas é o uso de sites comprometidos para o C2 e hospedagem de payloads intermediários.

Suspeita-se que o "servidor C2 só responda a tipos específicos de solicitações em determinados momentos", tornando os ataques mais evasivos.

"O ator de ameaças fez um esforço adicional para permanecer indetectado, evitando a forense de memória e as soluções de varredura de URL automatizadas", disseram os pesquisadores.

Publicidade

Aprenda hacking e pentest na prática com esse curso gratuito

Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...