Ataques cibernéticos estão utilizando iscas de falsas atualizações de software para disseminar um novo malware de furto chamado CoinLurker.
"Escrito em Go, o CoinLurker emprega técnicas de ofuscação de ponta e antianálise, tornando-o uma ferramenta altamente eficaz em ataques cibernéticos modernos," afirmou o pesquisador da Morphisec, Nadav Lorber, em um relatório técnico publicado na segunda-feira(16).
Os ataques utilizam alertas de atualização falsos que empregam vários pontos de entrada enganosos, como notificações de atualização de software em sites WordPress comprometidos, redirecionamentos de malvertising, e-mails de phishing que levam a páginas de atualização falsificadas, solicitações de verificação de CAPTCHA falsas, downloads diretos de sites falsos ou infectados e links compartilhados via redes sociais e aplicativos de mensagens.
Independentemente do método utilizado para desencadear a cadeia de infecção, os prompts de atualização de software usam o Microsoft Edge Webview2 para iniciar a execução do payload.
"A dependência do Webview2 em componentes pré-instalados e interação do usuário complica a análise dinâmica e em sandbox," disse Lorber.
"Sandboxes muitas vezes não possuem o Webview2 ou falham em replicar ações do usuário, permitindo que o malware evite a detecção automatizada." Uma das táticas avançadas adotadas nessas campanhas envolve o uso de uma técnica chamada EtherHiding, na qual os sites comprometidos são injetados com scripts projetados para acessar a infraestrutura Web3 a fim de recuperar o payload final de um repositório no Bitbucket que se disfarça de ferramentas legítimas (por exemplo, "UpdateMe.exe," "SecurityPatch.exe").
Esses executáveis, por sua vez, são assinados com um certificado de Validação Estendida (EV) legítimo, porém roubado, adicionando outra camada de engano ao esquema e burlando mecanismos de segurança.
No passo final, o "injetor de múltiplas camadas" é usado para implantar o payload no processo do Microsoft Edge ("msedge.exe").
O CoinLurker também usa um design inteligente para ocultar suas ações e complicar a análise, incluindo ofuscação intensa para verificar se a máquina já está comprometida, decodificando o payload diretamente na memória durante a execução e tomando medidas para obscurecer o caminho de execução do programa usando verificações condicionais, alocacões de recursos redundantes e manipulações iterativas de memória.
"Essa abordagem garante que o malware evite detecção, se integre de forma imperceptível à atividade do sistema legítimo e ignore regras de segurança de rede que dependem do comportamento do processo para filtragem," observou a Morphisec.
Uma vez lançado, o CoinLurker inicia comunicações com um servidor remoto usando uma abordagem baseada em socket e prossegue para colher dados de diretórios específicos associados a carteiras de criptomoedas (nomeadamente, Bitcoin, Ethereum, Ledger Live e Exodus), Telegram, Discord e FileZilla.
"Essa varredura abrangente sublinha o objetivo principal do CoinLurker de colher dados valiosos relacionados a criptomoedas e credenciais de usuário," disse Lorber.
Seu alvo em carteiras tanto principais quanto obscuras demonstra sua versatilidade e adaptabilidade, tornando-o uma ameaça significativa para usuários no ecossistema de criptomoedas.
Este desenvolvimento surge enquanto um único ator de ameaça foi observado orquestrando até 10 campanhas de malvertising que abusam de anúncios na pesquisa do Google para mirar em profissionais de design gráfico desde pelo menos 13 de novembro de 2024, usando iscas relacionadas a FreeCAD, Rhinoceros 3D, Planner 5D e Onshape.
"Domínios têm sido lançados dia após dia, semana após semana, desde pelo menos 13 de novembro de 2024, para campanhas de malvertising hospedadas em dois endereços IP dedicados: 185.11.61[.]243 e 185.147.124[.]110," disse Silent Push.
Sites originados dessas duas faixas de IP estão sendo lançados em campanhas de publicidade de pesquisa do Google, e todos levam a uma variedade de downloads maliciosos.
Isso também segue o surgimento de uma nova família de malware denominada I2PRAT que abusa da rede peer-to-peer I2P para comunicações criptografadas com um servidor de comando e controle (C2).
Vale ressaltar que o I2PRAT também é monitorado pela Cofense sob o nome I2Parcae RAT.
O ponto de partida do ataque é um e-mail de phishing contendo um link que, ao ser clicado, direciona o destinatário da mensagem a uma página falsa de verificação de CAPTCHA, que emprega a técnica ClickFix para enganar os usuários a copiarem e executarem um comando PowerShell codificado em Base64 responsável por lançar um downloader, que então implanta o RAT após recuperá-lo do servidor C2 por um socket TCP.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...