Pesquisadores de segurança cibernética descobriram uma versão atualizada de um backdoor chamado LODEINFO que é distribuído por meio de ataques de spear-phishing.
As descobertas vêm da empresa japonesa ITOCHU Cyber & Intelligence, que disse que o malware "foi atualizado com novos recursos, bem como mudanças nas técnicas de anti-análise (evasão de análise)".
LODEINFO (versões 0.6.6 e 0.6.7) foi documentado pela primeira vez pela Kaspersky em novembro de 2022, detalhando suas capacidades para executar shellcode arbitrário, tirar screenshots e exfiltrar arquivos de volta para um servidor controlado pelo ator.
Um mês depois, a ESET divulgou ataques direcionados a estabelecimentos políticos japoneses que resultaram no lançamento do LODEINFO.
O backdoor é obra de um ator de um Estado-nação chinês conhecido como Stone Panda (também conhecido como APT10, Riverside Bronze, Cicada, Earth Tengshe, MirrorFace e Potássio), que tem histórico de orquestração de ataques ao Japão desde 2021.
Cadeias de ataque começam com emails de phishing contendo documentos maliciosos do Microsoft Word que, quando abertos, executam macros VBA para lançar shellcode de downloader capaz de executar o implante de LODEINFO.
Os caminhos de infecção LODEINFO observados em 2023 também foram observados utilizando métodos de injeção remota de template para recuperar e executar macros maliciosas hospedadas na infraestrutura do adversário toda vez que a vítima abre um documento Word de isca contendo o template.
Além disso, verificou-se que foram adicionadas verificações para confirmar as configurações de idioma do Microsoft Office se são japonesas por volta de junho de 2023, apenas para serem removidas um mês depois em ataques que usam a versão 0.7.1 do LODEINFO.
"Além disso, o nome do arquivo do maldoc em si foi alterado de japonês para inglês", observou a ITOCHU.
"A partir disso, acreditamos que a v0.7.1 foi provavelmente usada para atacar ambientes em idiomas que não o japonês."
Outra mudança notável nos ataques que entregam a versão 0.7.1 do LODEINFO é a introdução de um novo estágio intermediário que envolve o downloader de shellcode buscando um arquivo que se disfarça como um correio aprimorado de privacidade (PEM) de um servidor C2, que, por sua vez, carrega o backdoor diretamente na memória.
O downloader compartilha semelhanças com um downloader sem arquivo conhecido como DOWNIISSA baseado no mecanismo de autocorreção para esconder código malicioso, método de codificação para informações do servidor de comando e controle (C2) e a estrutura dos dados descriptografados do arquivo PEM falso.
"O shellcode do backdoor LODEINFO é um malware sem arquivo que permite aos invasores acessar e operar hosts infectados remotamente", disse a empresa, com amostras encontradas em 2023 e 2024 incorporando comandos extras.
A versão mais recente do LODEINFO é a 0.7.3.
"Como contramedida, uma vez que tanto o shellcode de downloader quanto o shellcode de backdoor do LODEINFO são malware sem arquivo, é essencial introduzir um produto que possa escanear e detectar malware na memória para detectá-lo", acrescentou.
Publicidade
O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...