O malware DirtyMoe infecta mais de 2.000 computadores ucranianos para DDoS e Cryptojacking
5 de Fevereiro de 2024

A Equipe de Resposta a Emergência em Computadores da Ucrânia (CERT-UA) alertou que mais de 2.000 computadores no país foram infectados por uma cepa de malware chamada DirtyMoe.

A agência atribuiu a campanha a um ator de ameaça que chama de UAC-0027.

O DirtyMoe, ativo desde pelo menos 2016, é capaz de realizar ataques de criptojacking e de negação de serviço distribuído (DDoS).

Em março de 2022, a empresa de segurança cibernética Avast revelou a capacidade do malware de se propagar de maneira semelhante a um worm, aproveitando falhas de segurança conhecidas.

O botnet DDoS é conhecido por ser entregue por meio de outro malware, chamado Purple Fox, ou através de pacotes falsos de instalação MSI para softwares populares como o Telegram.

O Purple Fox também está equipado com um rootkit que permite aos atores de ameaças ocultar o malware na máquina e torná-lo difícil de detectar e remover.

O vetor de acesso inicial exato usado na campanha que tem como alvo a Ucrânia é atualmente desconhecido.

A CERT-UA está recomendando que as organizações mantenham seus sistemas atualizados, imponham a segmentação de rede e monitorem o tráfego de rede para qualquer atividade anômala.

Essas informações surgem enquanto a Securonix detalha uma campanha de phishing em andamento conhecida como STEADY#URSA, que tem como alvo o pessoal militar ucraniano com o objetivo de entregar um backdoor sob medida do PowerShell apelidado de SUBTLE-PAWS.

Os pesquisadores de segurança Den Iuzvyk, Tim Peck e Oleg Kolesnikov disseram que: "A cadeia de exploração é relativamente simples: envolve o alvo executando um arquivo de atalho malicioso (.lnk) que carrega e executa um novo código de payload de backdoor PowerShell (encontrado dentro de outro arquivo contido no mesmo arquivo)."

O ataque está ligado a um ator de ameaça conhecido como Shuckworm, que também é conhecido como Aqua Blizzard (anteriormente Actinium), Armageddon, Gamaredon, Iron Tilden, Primitive Bear, Trident Ursa, UNC530 e Winterflounder.

Ativo desde pelo menos 2013, acredita-se que seja parte do Serviço Federal de Segurança (FSB) da Rússia.

O SUBTLE-PAWS, além de configurar a persistência no host, usa a plataforma de blogging do Telegram chamada Telegraph para recuperar as informações de comando e controle (C2), uma técnica identificada anteriormente como associada ao adversário desde o início de 2023, e pode se propagar através de unidades acopláveis.

A capacidade do Gamaredon de se espalhar por meio de drives USB também foi documentada pela Check Point em novembro de 2023, que nomeou o worm USB baseado em PowerShell de LitterDrifter.

"O novo ataque da payload SUBTLE-PAWS pode ser visto como uma evolução das payload de ataque do ator de ameaça malicioso envolvido na campanha [LitterDrifter]", disse Kolesnikov, vice-presidente de pesquisa de ameaças e ciência de dados/IA na Securonix, ao The Hacker News.

"Por exemplo, LitterDrifter é baseado em vbscript.

SUBTLE-PAWS é PowerShell.

Também existem diferenças em como essas payloads funcionam, o SUBTLE-PAWS usa um mecanismo de persistência diferente, por exemplo."

"O backdoor SUBTLE-PAWS usa técnicas avançadas para executar payloads maliciosas dinamicamente", disseram os pesquisadores.

"Eles armazenam e recuperam código executável do PowerShell do Registro do Windows, o que pode ajudar a evitar métodos tradicionais de detecção baseados em arquivos.

Essa abordagem também ajuda a manter a persistência no sistema infectado, pois o malware pode se iniciar novamente após reinicializações ou outras interrupções."

Publicidade

Aprenda hacking e pentest na prática com esse curso gratuito

Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...