O grupo de ransomware BlackCat (também conhecido como ALPHV) está realizando campanhas de malvertizing para atrair pessoas para páginas falsas que imitam o site oficial do aplicativo de transferência de arquivos WinSCP para Windows, mas que, na verdade, distribuem instaladores infectados por malware.
O WinSCP (Windows Secure Copy) é um cliente popular e gratuito de SFTP, FTP, S3, SCP e gerenciador de arquivos com capacidades de transferência de arquivos SSH, com 400.000 downloads semanais somente no SourceForge.
O BlackCat está usando o programa como isca para infectar potencialmente os computadores de administradores de sistema, administradores de web e profissionais de TI, obtendo assim acesso inicial às valiosas redes corporativas.
Esse vetor de infecção anteriormente desconhecido do ransomware ALPHV foi descoberto por analistas da Trend Micro, que identificaram campanhas publicitárias promovendo as páginas falsas tanto no Google quanto no Bing.
O ataque do BlackCat observado pela Trend Micro começa com a vítima pesquisando por "Download do WinSCP" no Bing ou no Google e recebendo resultados maliciosos promovidos acima dos sites seguros de download do WinSCP.
As vítimas clicam nesses anúncios e visitam um site que contém tutoriais sobre transferências de arquivos automatizadas usando o WinSCP.
Esses sites não contêm nada malicioso, provavelmente para evitar a detecção pelos rastreadores anti-abuso do Google, mas redirecionam os visitantes para um clone do site oficial do WinSCP com um botão de download.
Esses clones utilizam nomes de domínio semelhantes ao domínio real winscp para a utilidade, como winsccp.
A vítima clica no botão e recebe um arquivo ISO contendo "setup.exe" e "msi.dll", sendo o primeiro usado como isca para o usuário executar e o segundo sendo o instalador de malware acionado pelo executável.
"Uma vez que o setup.exe é executado, ele chamará o msi.dll, que posteriormente extrairá uma pasta Python da seção RCDATA do DLL como um instalador real do WinSCP a ser instalado na máquina", explica o relatório da Trend Micro.
Esse processo também instala um arquivo python310.dll trojanizado e cria um mecanismo de persistência ao criar uma chave de execução chamada "Python" e o valor "C:\Users\Public\Music\python\pythonw.exe".
O executável pythonw.exe carrega um python310.dll modificado e ofuscado que contém um beacon Cobalt Strike que se conecta a um servidor de comando e controle.
Com o Cobalt Strike em execução no sistema, é fácil executar scripts adicionais, obter ferramentas para movimentação lateral e aprofundar a comprometimento.
Além das ferramentas mencionadas acima, o ALPHV também utilizou o "Terminator" do SpyBoy, um desabilitador de EDR e antivírus vendido por criminosos em fóruns de hackers de língua russa por até US$ 3.000.
Pesquisas recentes da CrowdStrike confirmaram que o "Terminator" é capaz de burlar várias ferramentas de segurança do Windows, usando um mecanismo "bring your own vulnerable driver" (BYOVD) para elevar os privilégios do sistema e desativá-las.
A Trend Micro afirma ter vinculado as TTPs acima a infecções confirmadas de ransomware ALPHV.
Também foi encontrado um arquivo de ransomware Clop em um dos domínios C2 investigados, o que sugere que o ator da ameaça pode estar afiliado a várias operações de ransomware.
Publicidade
O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...