O trojan de acesso remoto de código aberto conhecido como Quasar RAT tem sido observado utilizando a técnica de side-loading DLL para voar sob o radar e sifonar discretamente dados de hosts Windows comprometidos.
"Essa técnica se aproveita da confiança inerente que esses arquivos comandam no ambiente Windows," disseram os pesquisadores da Uptycs Tejaswini Sandapolla e Karthickkumar Kathiresan em um relatório publicado na semana passada, detalhando a dependência do malware no ctfmon.exe e calc.exe como parte da cadeia de ataque.
Também conhecido pelos nomes CinaRAT ou Yggdrasil, Quasar RAT é uma ferramenta de administração remota baseada em C# capaz de coletar informações do sistema, uma lista de aplicações em execução, arquivos, teclas digitadas, screenshots e executar comandos shell arbitrários.
O side-loading do DLL é uma técnica popular adotada por muitos agentes de ameaças para executar seus próprios payloads, instalando um arquivo DLL falsificado com um nome que um executável benigno é conhecido por estar procurando.
"Adversários provavelmente usam side-loading como um meio de mascarar as ações que eles realizam sob um processo de sistema ou software legítimo, confiável e potencialmente elevado," observa o MITRE em sua explicação do método de ataque.
O ponto de partida do ataque documentado pela Uptycs é um arquivo de imagem ISO que contém três arquivos: Um binário legítimo chamado ctfmon.exe que é renomeado como eBill-997358806.exe, um arquivo MsCtfMonitor.dll que é renomeado como monitor.ini, e um malicioso MsCtfMonitor.dll.
"Quando o arquivo binário 'eBill-997358806.exe' é executado, ele inicia o carregamento de um arquivo intitulado 'MsCtfMonitor.dll' (nome mascarado) via técnica de side-loading de DLL, dentro do qual um código malicioso é escondido," disseram os pesquisadores.
O código oculto é outro executável "FileDownloader.exe" que é injetado em Regasm.exe, a ferramenta de registro de montagem do Windows, para iniciar a próxima etapa, um autêntico arquivo calc.exe que carrega o rougue Secure32.dll novamente através de side-loading de DLL e lança o payload final do Quasar RAT.
O trojan, por sua vez, estabelece conexões com um servidor remoto para enviar informações do sistema e até mesmo estabelece um proxy reverso para acesso remoto ao endpoint.
A identidade do ator de ameaça e o vetor de acesso inicial exato usado para realizar o ataque é incerto, mas é provável que seja disseminado por meio de emails de phishing, tornando imperativo que os usuários estejam em alerta para emails, links ou anexos duvidosos.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...