O grupo de cibercrime de língua russa chamado RedCurl está aproveitando um componente legítimo do Microsoft Windows chamado Program Compatibility Assistant (PCA) para executar comandos maliciosos.
"O Program Compatibility Assistant Service (pcalua.exe) é um serviço do Windows projetado para identificar e resolver problemas de compatibilidade com programas mais antigos", disse a Trend Micro em uma análise publicada este mês.
"Os adversários podem explorar essa utilidade para habilitar a execução de comandos e contornar restrições de segurança usando-a como um interpretador de linha de comando alternativo.
Nesta investigação, o ator da ameaça usa esta ferramenta para obscurecer suas atividades."
O RedCurl, que também é chamado de Earth Kapre e Red Wolf, é conhecido por estar ativo desde pelo menos 2018, orquestrando ataques de espionagem cibernética corporativa contra entidades localizadas na Austrália, Canadá, Alemanha, Rússia, Eslovênia, Reino Unido, Ucrânia e EUA.
Em julho de 2023, a F.A.C.C.T.
revelou que um grande banco russo e uma empresa australiana foram alvos do ator da ameaça em novembro de 2022 e maio de 2023 para roubar segredos corporativos confidenciais e informações de funcionários.
A cadeia de ataque examinada pela Trend Micro envolve o uso de emails de phishing contendo anexos maliciosos (.ISO e .IMG files) para ativar um processo de várias etapas que começa com o uso do cmd.exe para baixar uma utilidade legítima chamada curl de um servidor remoto, que então atua como um canal para entregar um carregador (ms.dll ou ps.dll).
O arquivo DLL malicioso, por sua vez, utiliza o PCA para gerar um processo de download que cuida de estabelecer uma conexão com o mesmo domínio usado pelo curl para buscar o carregador.
Também é usado no ataque o uso do software de código aberto Impacket para a execução de comandos não autorizados.
As conexões com a Earth Kapre decorrem de sobreposições na infraestrutura de comando e controle (C2), bem como de semelhanças com artefatos de download conhecidos usados pelo grupo.
"Este caso destaca a ameaça contínua e ativa representada pela Earth Kapre, um ator que visa uma ampla gama de indústrias em vários países", disse a Trend Micro.
"O ator emprega táticas sofisticadas, como abusar do PowerShell, curl e Program Compatibility Assistant (pcalua.exe) para executar comandos maliciosos, mostrando sua dedicação em evadir a detecção dentro de redes alvo."
O desenvolvimento vem quando o grupo de nação-estado russo conhecido como Turla (também conhecido como Iron Hunter, Pensive Ursa, Secret Blizzard, Snake, Uroburos, Venomous Bear e Waterbug) começou a empregar um novo envoltório DLL com o codinome Pelmeni para implantar o backdoor baseado em .NET chamado Kazuar.
Pelmeni - que se disfarça de bibliotecas relacionadas a SkyTel, NVIDIA GeForce Experience, vncutil ou ASUS - é carregado por meio de carregamento lateral de DLL.
Uma vez que essa DLL falsificada é chamada pelo software legítimo instalado na máquina, ela descriptografa e lança o Kazuar, disse o Lab52.
Publicidade
A primeira certificação prática brasileira de wireless hacking veio para mudar o ensino na técnica no país, apresentando labs práticos e uma certificação hands-on.
Todas as técnicas de pentest wi-fi reunidos em um curso didático e definitivo.
Saiba mais...