Um ator de ameaças anteriormente não documentado, apelidado de SPIKEDWINE, foi observado alvejando autoridades de países europeus com missões diplomáticas indianas usando um novo backdoor chamado WINELOADER.
O adversário, de acordo com um relatório da Zscaler ThreatLabz, utilizou um arquivo PDF em e-mails que aparentemente vinham do Embaixador da Índia, convidando a equipe diplomática para um evento de degustação de vinhos em 2 de fevereiro de 2024.
O documento PDF foi carregado no VirusTotal da Letônia em 30 de janeiro de 2024.
Dito isto, há indícios de que esta campanha pode ter sido ativa pelo menos desde 6 de julho de 2023, pela descoberta de outro arquivo PDF semelhante carregado do mesmo país.
"O ataque é caracterizado por seu volume muito baixo e as táticas, técnicas e procedimentos avançados (TTPs) empregados no malware e na infraestrutura de comando e controle (C2)", disseram os pesquisadores de segurança Sudeep Singh e Roy Tay.
Central para o novo ataque é o arquivo PDF que vem embutido com um link malicioso que se disfarça de um questionário, instigando os destinatários a preenchê-lo para participar.
Clicar no link abre caminho para um aplicativo HTML ("wine.hta") que contém um código JavaScript ofuscado para recuperar um arquivo ZIP codificado com o WINELOADER do mesmo domínio.
O malware vem com um módulo central projetado para executar módulos do servidor C2, injetar-se em outra biblioteca de link dinâmico (DLL) e atualizar o intervalo de sono entre as solicitações de beacon.
Um aspecto notável das incursões cibernéticas é o uso de sites comprometidos para o C2 e hospedagem de payloads intermediários.
Suspeita-se que o "servidor C2 só responda a tipos específicos de solicitações em determinados momentos", tornando os ataques mais evasivos.
"O ator de ameaças fez um esforço adicional para permanecer indetectado, evitando a forense de memória e as soluções de varredura de URL automatizadas", disseram os pesquisadores.
Publicidade
Aprenda a criar dispositivos incríveis com o especialista Júlio Della Flora. Tenha acesso a aulas prática que te ensinarão o que há de mais moderno em gadgets de hacking e pentest. Se prepare para o mercado de pentest físico e de sistemas embarcados através da certificação SYH2. Saiba mais...