Usuários de língua chinesa estão no alvo de um novo cluster de atividades maliciosas nunca antes visto, codinomeado Void Arachne, que utiliza arquivos maliciosos do Windows Installer (MSI) para redes privadas virtuais (VPNs), a fim de entregar um framework de comando e controle (C&C) chamado Winos 4.0.
"A campanha também promove arquivos MSI comprometidos, embutidos com nudificadores e softwares geradores de pornografia deepfake, além de tecnologias de voz e facial AI", relataram os pesquisadores da Trend Micro, Peter Girnus, Aliakbar Zahravi e Ahmed Mohamed Ibrahim, em um relatório técnico publicado hoje.
A campanha usa táticas de envenenamento de [Search Engine Optimization] SEO, e plataformas de mídia social e de mensagens para distribuir o malware.
A empresa de cibersegurança, que descobriu o novo grupo de atores de ameaças no início de abril de 2024, disse que os ataques envolvem anunciar softwares populares como Google Chrome, LetsVPN, QuickVPN e um pacote de idiomas do Telegram para o idioma chinês simplificado para distribuir o Winos.
Cadeias de ataque alternativas aproveitam instaladores com backdoor propagados em canais do Telegram com temática chinesa.
Os links, surgidos através de táticas de SEO Black Hat, apontam para uma infraestrutura dedicada configurada pelo adversário para organizar os instaladores em forma de arquivos ZIP.
Para ataques visando canals do Telegram, os instaladores MSI e os arquivos ZIP são hospedados diretamente na plataforma de mensagens.
O uso de um pacote de idioma chinês malicioso é interessante não apenas porque representa uma grande superfície de ataque.
Outros tipos de softwares pretendem oferecer capacidades para gerar vídeos pornográficos deepfake não consensuais para uso em golpes de extorsão, tecnologias AI que poderiam ser usadas para sequestro virtual e ferramentas de alteração de voz e troca de rostos.
Os instaladores são projetados para modificar regras de firewall para permitir o tráfego de entrada e saída associado ao malware quando conectados a redes públicas.
Ele também solta um carregador que descriptografa e executa um payload de segundo estágio na memória, que subsequentemente lança um Script Visual Basic (VBS) para configurar a persistência no hospedeiro e acionar a execução de um script em batch desconhecido e entregar o framework Winos 4.0 C&C por meio de um estagiário que estabelece comunicações C&C com um servidor remoto.
Um implante escrito em C++, Winos 4.0 é equipado para realizar gestão de arquivos, negação de serviço distribuído (DDoS) usando TCP/UDP/ ICMP/HTTP, busca em disco, controle de webcam, captura de tela, gravação de microfone, keylogging e acesso remoto via shell.
Destacando a complexidade do backdoor, há um sistema baseado em plugins que realiza as características mencionadas através de um conjunto de 23 componentes dedicados compilados para variantes de 32 e 64 bits.
Ele pode ser ainda mais ampliado através de plugins externos integrados pelos próprios atores de ameaças, dependendo de suas necessidades.
O componente central do WinOS também inclui métodos para detectar a presença de softwares de segurança prevalentes na China, além de atuar como o principal orquestrador responsável por carregar os plugins, limpar logs do sistema e baixar e executar payloads adicionais de uma URL fornecida.
"A conectividade com a Internet na República Popular da China está sujeita a estrita regulamentação por meio de uma combinação de medidas legislativas e controles tecnológicos coletivamente conhecidos como o Grande Firewall da China", apontaram os pesquisadores.
Devido ao estrito controle governamental, os serviços de VPN e o interesse público nesta tecnologia têm aumentado notavelmente.
Isso, por sua vez, ampliou o interesse dos atores de ameaças em explorar o crescente interesse público em softwares que podem evadir o Grande Firewall e a censura online.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...