Pesquisadores em cybersecurity divulgaram detalhes de uma campanha de phishing que distribui um malware bancário furtivo que evoluiu para um remote access trojan chamado MostereRAT.
O ataque de phishing utiliza várias técnicas avançadas de evasão para obter controle total dos sistemas comprometidos, extrair dados sensíveis e expandir sua funcionalidade por meio do uso de plugins secundários, segundo o Fortinet FortiGuard Labs.
"Isso inclui o uso da Easy Programming Language (EPL) para desenvolver um payload em etapas, ocultando operações maliciosas e desabilitando ferramentas de segurança para evitar disparos de alertas, protegendo as comunicações de command-and-control (C2) usando mutual TLS (mTLS), suportando diversos métodos para implantar payloads adicionais e até mesmo instalando ferramentas populares de remote access", explicou Yurren Wan.
A EPL é uma linguagem de programação visual pouco conhecida, que suporta variantes em chinês tradicional, chinês simplificado, inglês e japonês.
Ela é destinada principalmente a usuários que podem não ser proficientes em inglês.
Os e-mails, que têm como alvo principal usuários japoneses, usam iscas relacionadas a consultas comerciais para enganar os destinatários a clicarem em links maliciosos que os levam a um site infectado, onde baixam um documento Microsoft Word com um arquivo ZIP embutido.
Dentro do arquivo ZIP está um executável que, por sua vez, aciona a execução do MostereRAT, que usa módulos escritos em EPL para instalar diversas ferramentas como AnyDesk, TigerVNC e TightVNC.
Um aspecto importante do malware é sua capacidade de desabilitar mecanismos de segurança do Windows e bloquear o tráfego de rede associado a uma lista fixa de programas de segurança, permitindo que ele evite a detecção.
"Essa técnica de bloqueio de tráfego se assemelha à do conhecido red team tool 'EDRSilencer', que utiliza filtros da Windows Filtering Platform (WFP) em múltiplas camadas da pilha de comunicação de rede, prevenindo efetivamente a conexão com seus servidores e o envio de dados de detecção, alertas, logs de eventos ou outras telemetrias", apontou Wan.
Outra característica é sua capacidade de rodar como TrustedInstaller, uma conta de sistema do Windows com permissões elevadas, o que permite interferir em processos críticos do Windows, modificar entradas do Windows Registry e excluir arquivos do sistema.
Além disso, um dos módulos implantados pelo MostereRAT é capaz de monitorar a atividade da janela em primeiro plano associada ao Qianniu – ferramenta de vendedores da Alibaba –, registrar keystrokes, enviar sinais heartbeat a um servidor externo e processar comandos enviados por esse servidor.
Esses comandos permitem coletar detalhes do host da vítima, executar arquivos DLL, EPK ou EXE, carregar shellcode, ler/escrever/excluir arquivos, baixar e injetar um EXE no processo svchost.exe usando Early Bird Injection, enumerar usuários, capturar screenshots, facilitar logins via RDP, e até criar e adicionar usuários ocultos ao grupo de administradores.
"Essas táticas aumentam significativamente a dificuldade de detecção, prevenção e análise", comentou o Fortinet.
Além de manter sua solução atualizada, educar os usuários sobre os perigos da engenharia social continua sendo essencial.
ClickFix Ganha Outra Nova Versão
As descobertas coincidem com o surgimento de outra campanha que emprega técnicas “ClickFix-esque” para distribuir um infostealer conhecido como MetaStealer, voltado a usuários que procuram por ferramentas como AnyDesk.
A cadeia do ataque envolve apresentar uma falsa página Cloudflare Turnstile antes de fazer o download do suposto instalador do AnyDesk, e solicita que o usuário clique numa caixa de seleção para completar uma etapa de verificação.
Contudo, essa ação dispara uma mensagem pop-up pedindo que o usuário abra o Windows File Explorer.
Ao abrir o Windows File Explorer, um código PHP oculto na página de verificação Turnstile usa o protocolo URI "search-ms:" para exibir um arquivo de atalho Windows (LNK) disfarçado de PDF hospedado no site do atacante.
Esse arquivo LNK, por sua vez, ativa uma série de etapas para coletar o hostname e executar um pacote MSI, responsável por instalar o MetaStealer.
"Esses tipos de ataques que exigem alguma interação manual da vítima, pois dependem que ela ‘conserte’ o suposto processo quebrado, funcionam em parte porque podem potencialmente evitar soluções de segurança", explicou a Huntress.
Os agentes de ameaça continuam a evoluir suas cadeias de infecção, dificultando a detecção e prevenção.
A divulgação também ocorre no momento em que a CloudSEK detalha uma adaptação inovadora da tática de engenharia social ClickFix, que usa prompts invisíveis baseados em CSS para manipular sistemas de IA e gerar resumos que incluem instruções ClickFix controladas pelos atacantes.
O ataque proof-of-concept (PoC) é realizado por meio de uma estratégia chamada prompt overdose, na qual o payload é embutido extensivamente em conteúdo HTML para dominar a janela de contexto de um large language model (LLM) e direcionar sua saída.
"Essa abordagem mira resumos incorporados em aplicativos como clientes de e-mail, extensões de navegador e plataformas de produtividade", explicou a empresa.
Ao explorar a confiança dos usuários em resumos gerados por IA, o método entrega ocultamente instruções maliciosas passo a passo que podem facilitar o desdobramento de ransomware.
Prompt overdose é uma técnica de manipulação que sobrecarrega a janela de contexto de um modelo de IA com conteúdo de alta densidade e repetitivo para controlar sua saída.
Ao saturar a entrada com texto escolhido pelo atacante, o contexto legítimo é deixado de lado, e a atenção do modelo é constantemente redirecionada para o payload injetado.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...