Os atores ameaçadores por trás da operação de ransomware CatB foram observados usando uma técnica chamada de sequestro de ordem de pesquisa de DLL para evitar detecção e lançar o payload.
O CatB, também conhecido como CatB99 e Baxtoy, surgiu no final do ano passado e é dito ser uma "evolução ou rebranding direto" de outra cepa de ransomware conhecida como Pandora, com base em similaridades de nível de código.
Vale ressaltar que o uso de Pandora foi atribuído a Bronze Starlight (também conhecido como DEV-0401 ou Emperor Dragonfly), um ator ameaçador com base na China que é conhecido por empregar famílias de ransomware de curta duração como uma artimanha para provavelmente esconder seus verdadeiros objetivos.
Uma das principais características definidoras do CatB é sua dependência do sequestro de DLL por meio de um serviço legítimo chamado Microsoft Distributed Transaction Coordinator (MSDTC) para extrair e lançar o payload de ransomware.
"Após a execução, os payloads do CatB dependem do sequestro de ordem de pesquisa de DLL para soltar e carregar o payload malicioso", disse o pesquisador da SentinelOne Jim Walter em um relatório publicado na semana passada.
"O dropper (versions.dll) solta o payload (oci.dll) no diretório System32".
O dropper também é responsável por realizar verificações anti-análise para determinar se o malware está sendo executado em um ambiente virtual e, em última análise, abusar do serviço MSDTC para injetar o oci.dll falso contendo o ransomware no executável do msdtc.exe ao reiniciar o sistema.
"As configurações [MSDTC] alteradas são o nome da conta sob a qual o serviço deve ser executado, que é alterado de Network Service para Local System, e a opção de inicialização do serviço, que é alterada de Inicialização sob demanda para Inicialização automática para persistência em caso de reinicialização", explicou a pesquisadora da Minerva Labs Natalie Zargarov em uma análise anterior.
Um aspecto marcante do ransomware é a ausência de uma nota de resgate.
Em vez disso, cada arquivo criptografado é atualizado com uma mensagem instando as vítimas a fazer um pagamento em Bitcoin.
Outra característica é a capacidade do malware de coletar dados confidenciais, como senhas, marcadores e histórico dos navegadores Google Chrome, Microsoft Edge (e Internet Explorer) e Mozilla Firefox.
"O CatB se junta a uma longa lista de famílias de ransomware que adotam técnicas seminovas e comportamentos atípicos, como anexar notas ao cabeçalho de arquivos", disse Walter.
"Esses comportamentos parecem ser implementados no interesse da evasão de detecção e algum nível de trapaça anti-análise".
Esta não é a primeira vez que o serviço MSDTC foi usado para fins maliciosos.
Em maio de 2021, a Trustwave divulgou um novo malware chamado Pingback que empregou a mesma técnica para alcançar persistência e contornar soluções de segurança.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...