Pesquisadores de cibersegurança estão alertando sobre uma nova campanha de phishing que está mirando usuários em Taiwan com famílias de malware como HoldingHands RAT e Gh0stCringe.
A atividade faz parte de uma campanha mais ampla que entregou o framework de malware Winos 4.0 no início de janeiro, enviando mensagens de phishing que se passavam por comunicações do Escritório Nacional de Tributação de Taiwan, disse a Fortinet FortiGuard Labs em um relatório compartilhado com a imprensa.
A empresa de cibersegurança disse que identificou amostras adicionais de malware por meio de monitoramento contínuo e observou o mesmo ator de ameaça, referido como Silver Fox APT, usando documentos PDF ou arquivos ZIP carregados com malware distribuídos via emails de phishing para entregar Gh0stCringe e uma cepa de malware baseada no HoldingHands RAT.
Vale ressaltar que tanto o HoldingHands RAT (também conhecido como Gh0stBins) quanto o Gh0stCringe são variantes de um conhecido trojan de acesso remoto chamado Gh0st RAT, amplamente utilizado por grupos de hacking chineses.
O ponto de partida do ataque é um email de phishing que se disfarça como mensagens do governo ou parceiros comerciais, empregando iscas relacionadas a impostos, faturas e pensões para persuadir os destinatários a abrir o anexo.
Cadeias de ataque alternativas foram encontradas para aproveitar uma imagem embutida que, quando clicada, baixa o malware.
Os arquivos PDF, por sua vez, contêm um link que redireciona os alvos em potencial para uma página de download hospedando um arquivo ZIP.
Presente dentro do arquivo estão vários executáveis legítimos, carregadores de shellcode e shellcode criptografado.
A sequência de infecção em múltiplos estágios envolve o uso do carregador de shellcode para descriptografar e executar o shellcode, que nada mais é do que arquivos DLL carregados lateralmente pelos binários legítimos usando técnicas de DLL side-loading.
Payloads intermediários implantados como parte do ataque incorporam anti-VM e escalonamento de privilégios para garantir que o malware funcione sem impedimentos no host comprometido.
O ataque culmina com a execução de "msgDb.dat", que implementa funções de comando e controle (C2) para coletar informações do usuário e baixar módulos adicionais para facilitar o gerenciamento de arquivos e capacidades de desktop remoto.
A Fortinet disse também ter descoberto que o ator de ameaça está propagando Gh0stCringe via anexos PDF em emails de phishing que levam os usuários para páginas HTM de download de documentos.
"A cadeia de ataque compreende inúmeros trechos de shellcode e carregadores, tornando o fluxo de ataque complexo", disse a empresa.
"Entre winos, HoldingHands e Gh0stCringe, esse grupo de ameaças continua evoluindo suas estratégias de malware e distribuição."
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...