Um verme recentemente descoberto que os pesquisadores chamam de "LittleDrifter" tem se espalhado através de drives USB, infectando sistemas em vários países como parte de uma campanha do grupo de espionagem patrocinado pelo estado Gamaredon.
Pesquisadores de malware viram indícios de comprometimento nos Estados Unidos, Ucrânia, Alemanha, Vietnã, Polônia, Chile e Hong Kong, o que sugere que o grupo de ameaças perdeu o controle do LittleDrifter, que atingiu alvos não intencionais.
De acordo com uma pesquisa da Check Point, o malware é escrito em VBS e foi criado para se propagar através de drives USB, como uma evolução do verme USB PowerShell do Gamaredon.
Gamaredon, também conhecido como Shuckworm, Iron Tilden e Primitive Bear, é um grupo de ameaças de ciberespionagem associado à Rússia que, por pelo menos uma década, tem como alvo organizações na Ucrânia de vários setores, incluindo governo, defesa e infraestrutura crítica.
O objetivo do LittleDrifter é estabelecer comunicações com o servidor de comando e controle (C2) do grupo de ameaças e se espalhar por drives USB.
Para alcançar seu objetivo, o malware usa dois módulos separados, que são executados pelo componente VBS fortemente ofuscado trash.dll.
LittleDrifter e todos os seus componentes se aninham no diretório "Favoritos" do usuário e estabelecem persistência ao adicionar tarefas agendadas e chaves de registro.
O módulo responsável pela propagação para outros sistemas monitora os drives USB recém-inseridos e cria atalhos LNK enganosos junto com uma cópia oculta do "trash.dll".
O malware usa o framework de gerenciamento Windows Management Instrumentation (WMI) para identificar drives alvo e cria atalhos com nomes aleatórios para executar scripts maliciosos.
Os pesquisadores explicam que o Gamaredon usa domínios como placeholder para os endereços IP onde os servidores C2 estão.
Nessa perspectiva, o grupo de ameaças tem uma abordagem "bastante única".
Antes de tentar contatar o servidor C2, o malware procura na pasta temporária um arquivo de configuração.
Se tal arquivo não existir, LittleDrifter faz um ping em um dos domínios do Gamaredon usando uma consulta WMI.
A resposta à consulta contém o endereço IP do domínio, que é salvo em um novo arquivo de configuração.
A Check Point observa que todos os domínios usados pelo malware são registrados sob 'REGRU-RU' e usam o domínio de nível superior '.ru', o que é consistente com relatórios passados sobre a atividade do Gamaredon.
A vida útil típica de cada endereço IP que atua como um C2 nas operações do LittleDrifter é de cerca de 28 horas, mas os endereços podem mudar várias vezes ao dia para evitar detecção e bloqueio.
O C2 pode enviar payloads que o LitterDrifter tenta decodificar e executar no sistema comprometido.
A CheckPoint esclarece que, na maioria dos casos, nenhuma payload foi baixada, o que pode indicar que os ataques são altamente direcionados.
Como opção de backup, o malware também pode obter o endereço IP do C2 de um canal do Telegram.
LittleDrifter provavelmente faz parte da primeira etapa de um ataque, tentando estabelecer persistência no sistema comprometido e aguardando o C2 entregar novas payloads que avançariam o ataque.
O malware é caracterizado por sua simplicidade e não depende de técnicas inovadoras, mas parece ser eficaz.
O relatório da Check Point fornece hashes para quase duas dúzias de amostras de LittleDrifter, bem como domínios associados à infraestrutura da Gamaredon.
Publicidade
Aprenda a criar dispositivos incríveis com o especialista Júlio Della Flora. Tenha acesso a aulas prática que te ensinarão o que há de mais moderno em gadgets de hacking e pentest. Se prepare para o mercado de pentest físico e de sistemas embarcados através da certificação SYH2. Saiba mais...