Uma nova campanha foi observada explorando sites falsos que anunciam softwares populares como WPS Office, Sogou e DeepSeek para entregar Sainbox RAT e o rootkit open-source Hidden.
A atividade foi atribuída, com média confiança, a um grupo de hackers chinês chamado Silver Fox (também conhecido como Void Arachne), citando semelhanças no modus operandi com campanhas anteriores atribuídas ao ator de ameaça.
Os sites de phishing ("wpsice[.]com") foram encontrados distribuindo instaladores MSI maliciosos em chinês, indicando que os alvos da campanha são falantes de chinês.
"As cargas maliciosas do malware incluem o Sainbox RAT, uma variante do Gh0st RAT, e uma variante do rootkit open-source Hidden," disse o pesquisador da Netskope Threat Labs, Leandro Fróes.
Esta não é a primeira vez que o ator de ameaça recorre a este modus operandi.
Em julho de 2024, a eSentire detalhou uma campanha que visava usuários de Windows que falam chinês com sites falsos do Google Chrome para entregar Gh0st RAT.
Então, anteriormente neste fevereiro, a Morphisec divulgou outra campanha que também explorava sites falsos divulgando o navegador web que distribuía ValleyRAT (também conhecido como Winos 4.0), uma versão diferente do Gh0st RAT.
ValleyRAT foi documentado pela primeira vez pela Proofpoint em setembro de 2023 como parte de uma campanha que também visava usuários de língua chinesa com Sainbox RAT e Purple Fox.
Na última onda de ataques identificada pela Netskope, os instaladores MSI maliciosos baixados dos sites são projetados para lançar um executável legítimo chamado "shine.exe", que carrega lateralmente uma DLL maliciosa "libcef.dll" usando técnicas de side-loading de DLL.
O objetivo principal da DLL é extrair um shellcode de um arquivo de texto ("1.txt") presente no instalador e, em seguida, executá-lo, resultando na execução de outra carga DLL, um trojan de acesso remoto chamado Sainbox.
"A seção .data da carga analisada contém outro binário PE que pode ser executado, dependendo da configuração do malware," explicou Fróes.
O arquivo embutido é um driver de rootkit baseado no projeto open-source Hidden. Enquanto Sainbox vem equipado com capacidades para baixar cargas adicionais e roubar dados, Hidden oferece aos atacantes uma variedade de recursos furtivos para ocultar processos relacionados ao malware e chaves do Registro do Windows em hosts comprometidos.
"Usar variantes de RATs de mercadoria, como o Gh0st RAT, e rootkits de kernel open-source, como o Hidden, dá aos atacantes controle e furtividade sem exigir muito desenvolvimento personalizado," disse a Netskope.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...