Um novo worm autodifusivo denominado 'CMoon', capaz de roubar credenciais de contas e outros dados, está sendo distribuído na Rússia desde o início de julho de 2024 por meio de um site comprometido de uma empresa fornecedora de gás.
De acordo com os pesquisadores da Kaspersky que descobriram a campanha, o CMoon pode executar uma ampla gama de funções, incluindo o carregamento de payloads adicionais, captura de screenshots e lançamento de ataques de distributed denial of service (DDoS).
A julgar pelo canal de distribuição utilizado pelos agentes da ameaça, o foco do alvo está em alvos de alto valor, em vez de usuários aleatórios da internet, o que indica uma operação sofisticada.
A Kaspersky diz que a cadeia de infecção começa quando os usuários clicam em links para documentos regulatórios (docx, .xlsx, .rtf e .pdf) encontrados em várias páginas do site de uma empresa que fornece serviços de gasificação e fornecimento de gás para uma cidade russa.
Os agentes da ameaça substituíram os links dos documentos por links para executáveis maliciosos, que também foram hospedados no site e entregues às vítimas como arquivos autoextraíveis contendo o documento original e o payload do CMoon, nomeado a partir do link original.
"Não vimos outros vetores de distribuição deste malware, por isso acreditamos que o ataque é direcionado apenas aos visitantes do site específico", relata a Kaspersky.
Após a empresa de gás ser notificada sobre esse comprometimento, os arquivos e links maliciosos foram removidos de seu site em 25 de julho de 2024.
No entanto, devido aos mecanismos de autopropagação do CMoon, sua distribuição pode continuar de forma autônoma.
O CMoon é um worm .NET que se copia para uma pasta recém-criada nomeada de acordo com o software antivírus que detectou no dispositivo comprometido ou uma que se pareça com uma pasta do sistema, caso nenhum AV seja detectado.
O worm cria um atalho no diretório de Inicialização do Windows para garantir que seja executado na inicialização do sistema, assegurando a persistência entre reinicializações.
Para evitar levantar suspeitas durante verificações manuais do usuário, altera as datas de criação e modificação de seus arquivos para 22 de maio de 2013.
O worm monitora por drives USB recém-conectados e, quando algum é conectado à máquina infectada, substitui todos os arquivos, exceto por 'LNKs' e 'EXEs', por atalhos para seu executável.
O CMoon também procura por arquivos interessantes armazenados nos drives USB e os armazena temporariamente em diretórios ocultos ('.intelligence' e '.usb') antes de serem exfiltrados para o servidor do atacante.
O CMoon apresenta funcionalidades padrões de info-stealer, visando carteiras de criptomoedas, dados armazenados em navegadores web, aplicativos de mensagens, clientes de FTP e SSH, e arquivos de documentos nos drives USB ou pastas do usuário que contenham as strings de texto 'secret', 'service' ou 'password'.
Uma característica interessante e um tanto incomum é o direcionamento de arquivos que podem conter credenciais de conta, como .pfx, .p12, .kdb, .kdbx, .lastpass, .psafe3, .pem, .key, .private, .asc, .gpg, .ovpn e .log.
O malware também pode baixar e executar payloads adicionais, capturar screenshots do dispositivo violado e iniciar ataques DDoS em alvos especificados.
Arquivos roubados e informações do sistema são empacotados e enviados a um servidor externo, onde são descriptografados (RC4) e verificados quanto à sua integridade usando um hash MD5.
A Kaspersky deixa aberta a possibilidade de mais sites fora de sua visibilidade atual estarem distribuindo o CMoon, portanto, a vigilância é aconselhada.
Não importa quão direcionada esta campanha possa ser, o fato de o worm se espalhar autonomamente significa que ele poderia alcançar sistemas não intencionais e criar condições para ataques oportunistas.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...