Pesquisadores de cibersegurança descobriram uma campanha de ataque em andamento que está utilizando e-mails de phishing para entregar malware chamado SSLoad.
A campanha, codinome FROZEN#SHADOW pela Securonix, também envolve a implantação de Cobalt Strike e o software de desktop remoto ConnectWise ScreenConnect.
"O SSLoad é projetado para se infiltrar furtivamente nos sistemas, coletar informações sensíveis e transmitir suas descobertas de volta aos seus operadores", disseram os pesquisadores de segurança Den Iuzvyk, Tim Peck e Oleg Kolesnikov.
Uma vez dentro do sistema, o SSLoad implanta múltiplos backdoors e payloads para manter a persistência e evitar detecção. As cadeias de ataque envolvem o uso de mensagens de phishing para alvo aleatório de organizações na Ásia, Europa e Américas, com e-mails contendo links que levam ao recebimento de um arquivo JavaScript que inicia o fluxo de infecção.
No início deste mês, a Palo Alto Networks descobriu pelo menos dois métodos diferentes pelos quais o SSLoad é distribuído, um que envolve o uso de formulários de contato de sites para embutir URLs armadilhadas e outro envolvendo documentos Microsoft Word habilitados para macro.
Este último também é notável pelo fato de que o malware atua como um conduto para a entrega de Cobalt Strike, enquanto o primeiro tem sido usado para entregar um malware diferente chamado Latrodectus, um sucessor provável do IcedID.
O arquivo JavaScript ofuscado ("out_czlrh.js"), quando lançado e executado usando wscript.exe, recupera um arquivo instalador MSI ("slack.msi") conectando-se a um compartilhamento de rede localizado em "\\wireoneinternet[.]info@80\share\" e o executa usando msiexec.exe.
O instalador MSI, por sua vez, contata um domínio controlado pelo atacante para buscar e executar o payload de malware SSLoad usando rundll32.exe, após o qual ele sinaliza para um servidor de comando e controle (C2) junto com informações sobre o sistema comprometido.
A fase inicial de reconhecimento abre caminho para o Cobalt Strike, um software legítimo de simulação de adversário, que é então usado para baixar e instalar o ScreenConnect, permitindo assim que os atores de ameaças comandem remotamente o hospedeiro.
"Com acesso total ao sistema, os atores de ameaças começaram a tentar adquirir credenciais e reunir outros detalhes críticos do sistema," disseram os pesquisadores.
"Neste estágio, eles começaram a escanear o host da vítima em busca de credenciais armazenadas em arquivos, bem como outros documentos potencialmente sensíveis." Foi também observado que os atacantes pivotam para outros sistemas na rede, incluindo o controlador de domínio, infiltrando-se finalmente no domínio Windows da vítima criando sua própria conta de administrador de domínio.
"Com este nível de acesso, eles poderiam entrar em qualquer máquina conectada ao domínio", disseram os pesquisadores.
No fim, este é o pior cenário para qualquer organização, pois esse nível de persistência alcançado pelos atacantes seria incrivelmente demorado e caro para remediar. A divulgação ocorre enquanto o AhnLab Security Intelligence Center (ASEC) revelou que sistemas Linux estão sendo infectados com um trojan de acesso remoto open-source chamado Pupy RAT.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...