Uma nova campanha de phishing está sendo observada utilizando iscas temáticas tributárias para entregar um backdoor sigiloso como parte de ataques direcionados ao Paquistão.
A empresa de cibersegurança Securonix, que está monitorando a atividade sob o nome FLUX#CONSOLE, disse que provavelmente começa com um link ou anexo de e-mail de phishing, embora tenha dito que não conseguiu obter o e-mail original usado para iniciar o ataque.
"Um dos aspectos mais notáveis da campanha é como os criminosos cibernéticos aproveitam os arquivos MSC (Microsoft Common Console Document) para implementar um carregador e dropper de dupla finalidade para entregar mais payloads maliciosos," disseram os pesquisadores de segurança Den Iuzvyk e Tim Peck.
Vale ressaltar que o abuso de arquivos de console de gerenciamento salvos especialmente projetados (MSC) para executar código malicioso foi codinomeado GrimResource pela Elastic Security Labs.
O ponto de partida é um arquivo com extensões duplas (.pdf.msc) que se disfarça como um arquivo PDF (se a configuração para exibir extensões de arquivo estiver desabilitada) e é projetado para executar um código JavaScript embutido quando lançado usando o Microsoft Management Console (MMC).
Esse código, por sua vez, é responsável por recuperar e exibir um arquivo chamariz, ao mesmo tempo que carrega secretamente um arquivo DLL ("DismCore.dll") em segundo plano.
Um dos documentos usados na campanha se chama "Reduções, Rebates e Créditos Tributários 2024", que é um documento legítimo associado à Federal Board of Revenue (FBR) do Paquistão.
"Além de entregar o payload a partir de uma string embutida e ofuscada, o arquivo .MSC é capaz de executar código adicional ao acessar um arquivo HTML remoto que também alcança o mesmo objetivo," disseram os pesquisadores, adicionando que a persistência é estabelecida usando tarefas agendadas.
O principal payload é um backdoor capaz de estabelecer contato com um servidor remoto e executar comandos enviados por ele para exfiltrar dados de sistemas comprometidos.
A Securonix disse que o ataque foi interrompido 24 horas após a infecção inicial.
Atualmente, não está claro quem está por trás da campanha de malware, embora o ator de ameaça conhecido como Patchwork tenha sido observado anteriormente usando um documento tributário similar da FBR no início de dezembro de 2023.
A Securonix disse ao The Hacker News que, embora seja "definitivamente possível" que o Patchwork esteja por trás dos ataques, disse que não conseguiu estabelecer conexões sólidas com base nos TTPs conhecidos e em outras fontes de telemetria para afirmar com confiança a atribuição.
"As iscas de phishing referenciadas parecem semelhantes, no entanto, vimos atores de ameaças se aproveitarem de iscas antes no passado, especialmente com PDFs ou até mesmo iscas de arquivos de imagem," disse Peck, pesquisador sênior de ameaças na Securonix.
No entanto, se este for o caso e o Patchwork for responsável, isso forneceria mais insights sobre suas operações e cadeias de ataque atuais.
"Desde o JavaScript altamente ofuscado usado nas etapas iniciais até o código de malware profundamente oculto dentro do DLL, toda a cadeia de ataque exemplifica as complexidades de detectar e analisar o código malicioso contemporâneo," disseram os pesquisadores.
Outro aspecto notável desta campanha é a exploração de arquivos MSC como uma evolução potencial do clássico arquivo LNK, que tem sido popular com atores de ameaças nos últimos anos.
Como os arquivos LNK, eles também permitem a execução de código malicioso enquanto se misturam aos fluxos de trabalho administrativos legítimos do Windows.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...