Novo Backdoor visando Oficiais Europeus ligado a Eventos Diplomáticos Indianos
29 de Fevereiro de 2024

Um ator de ameaças anteriormente não documentado, apelidado de SPIKEDWINE, foi observado alvejando autoridades de países europeus com missões diplomáticas indianas usando um novo backdoor chamado WINELOADER.

O adversário, de acordo com um relatório da Zscaler ThreatLabz, utilizou um arquivo PDF em e-mails que aparentemente vinham do Embaixador da Índia, convidando a equipe diplomática para um evento de degustação de vinhos em 2 de fevereiro de 2024.

O documento PDF foi carregado no VirusTotal da Letônia em 30 de janeiro de 2024.

Dito isto, há indícios de que esta campanha pode ter sido ativa pelo menos desde 6 de julho de 2023, pela descoberta de outro arquivo PDF semelhante carregado do mesmo país.

"O ataque é caracterizado por seu volume muito baixo e as táticas, técnicas e procedimentos avançados (TTPs) empregados no malware e na infraestrutura de comando e controle (C2)", disseram os pesquisadores de segurança Sudeep Singh e Roy Tay.

Central para o novo ataque é o arquivo PDF que vem embutido com um link malicioso que se disfarça de um questionário, instigando os destinatários a preenchê-lo para participar.

Clicar no link abre caminho para um aplicativo HTML ("wine.hta") que contém um código JavaScript ofuscado para recuperar um arquivo ZIP codificado com o WINELOADER do mesmo domínio.

O malware vem com um módulo central projetado para executar módulos do servidor C2, injetar-se em outra biblioteca de link dinâmico (DLL) e atualizar o intervalo de sono entre as solicitações de beacon.

Um aspecto notável das incursões cibernéticas é o uso de sites comprometidos para o C2 e hospedagem de payloads intermediários.

Suspeita-se que o "servidor C2 só responda a tipos específicos de solicitações em determinados momentos", tornando os ataques mais evasivos.

"O ator de ameaças fez um esforço adicional para permanecer indetectado, evitando a forense de memória e as soluções de varredura de URL automatizadas", disseram os pesquisadores.

Publicidade

Black November Solyd 2024

Em nenhum outro momento você conseguirá pagar tão pouco em um treinamento e certificação Solyd. A Solyd não te oferece um simples curso online. Mas sim uma experiência completa de aulas com três profissionais que vivem e trabalham como um hacker 24 horas por dia, que se dedicam durante todo ano a tirar seus sonhos de criança do papel. Ter algo desse nível era impossível há apenas 10 anos atrás, e hoje conseguimos entregar o melhor programa de educação em hacking do mundo. O melhor dia para começar sempre foi HOJE. Saiba mais...