Uma nova família de malware, batizada de AgingFly, foi identificada em ataques contra governos locais e hospitais, com foco no roubo de dados de autenticação de navegadores baseados em Chromium e do WhatsApp.
As investidas foram detectadas na Ucrânia pela equipe do CERT do país no mês passado.
Com base nas evidências forenses, os alvos também podem incluir representantes das Forças de Defesa.
O CERT-UA atribuiu os ataques a um grupo de ameaça cibernética que monitora como UAC-0247.
Segundo a agência ucraniana, o ataque começa quando a vítima recebe um e-mail que se passa por uma oferta de ajuda humanitária e a incentiva a clicar em um link embutido.
O link redireciona para um site legítimo que havia sido comprometido por uma vulnerabilidade de cross-site scripting (XSS) ou para um site falso criado com uma ferramenta de IA.
O CERT-UA afirma que a vítima recebe um arquivo compactado com um atalho LNK, que aciona um handler HTA nativo.
Esse componente, por sua vez, se conecta a um recurso remoto para baixar e executar o arquivo HTA.
O HTA exibe um formulário de isca para desviar a atenção e cria uma tarefa agendada que baixa e executa um payload em EXE, responsável por injetar shellcode em um processo legítimo.
Na sequência, os invasores implantam um loader em duas etapas, no qual a segunda fase usa um formato executável personalizado, enquanto o payload final é compactado e criptografado.
“Um típico TCP reverse shell ou um análogo classificado como RAVENSHELL pode ser usado como stager, permitindo estabelecer uma conexão TCP com o servidor de gerenciamento”, informou o CERT-UA em relatório divulgado hoje.
Em seguida, é estabelecida uma conexão TCP criptografada com XOR com o servidor C2 para a execução de comandos via Command Prompt no Windows.
Na etapa seguinte, o malware AgingFly é entregue e implantado.
Ao mesmo tempo, um script em PowerShell chamado SILENTLOOP é usado para executar comandos, atualizar a configuração e recuperar o endereço do servidor C2 a partir de um canal no Telegram ou de mecanismos de fallback.
Após investigar uma dúzia de incidentes desse tipo, os pesquisadores concluíram que o invasor está roubando dados do navegador com a ajuda da ferramenta open-source de segurança ChromElevator, capaz de descriptografar e extrair informações sensíveis, como cookies e senhas salvas, de navegadores baseados em Chromium, entre eles Google Chrome, Edge e Brave, sem necessidade de privilégios de administrador.
O ator da ameaça também tenta extrair dados sensíveis do WhatsApp para Windows, descriptografando bancos de dados com a ferramenta forense open-source ZAPiDESK.
De acordo com os pesquisadores, o grupo realiza atividades de reconhecimento e tenta se mover lateralmente pela rede, utilizando ferramentas públicas como o scanner de portas RustScan e os utilitários de tunelamento Ligolo-ng e Chisel.
O AgingFly é um malware em C# que oferece aos operadores controle remoto, execução de comandos, exfiltração de arquivos, captura de tela, keylogging e execução arbitrária de código.
Ele se comunica com o servidor C2 por meio de WebSockets e criptografa o tráfego com AES-CBC usando uma chave estática.
Os pesquisadores destacam que uma característica particular do AgingFly é a ausência de handlers de comando pré-compilados.
Em vez disso, eles são obtidos do servidor C2 como código-fonte e compilados dinamicamente em tempo de execução.
“Uma característica distintiva do AGINGFLY em comparação com malwares semelhantes é a ausência de handlers de comando embutidos em seu código.
Em vez disso, eles são recuperados do servidor C2 como código-fonte e compilados dinamicamente em tempo de execução”, explicou o CERT-UA.
Entre as vantagens dessa abordagem estão um payload inicial menor, a possibilidade de alterar ou ampliar funcionalidades sob demanda e o potencial de escapar de detecções estáticas.
Por outro lado, esse método incomum aumenta a complexidade, depende da conectividade com o C2, amplia a presença do malware em tempo de execução e, no fim, eleva o risco de detecção.
O CERT-UA recomenda que os usuários bloqueiem a execução de arquivos LNK, HTA e JS para interromper a cadeia de ataque usada nesta campanha.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...