Um novo grupo de ameaças, até então não documentado e batizado de Earth Minotaur, está utilizando o kit de exploração MOONSHINE e uma backdoor para Android e Windows ainda não reportada chamada DarkNimbus, a fim de facilitar operações de vigilância de longo prazo direcionadas a tibetanos e uigures.
"O Earth Minotaur usa MOONSHINE para entregar a backdoor DarkNimbus para dispositivos Android e Windows, mirando o WeChat e possivelmente tornando-o uma ameaça multiplataforma", disseram os pesquisadores da Trend Micro, Joseph C Chen e Daniel Lunghi, em uma análise publicada hoje.
O MOONSHINE explora várias vulnerabilidades conhecidas em navegadores e aplicações baseadas em Chromium, exigindo que os usuários atualizem o software regularmente para prevenir ataques.
Os países afetados pelos ataques do Earth Minotaur incluem Austrália, Bélgica, Canadá, França, Alemanha, Índia, Itália, Japão, Nepal, Países Baixos, Noruega, Rússia, Espanha, Suíça, Taiwan, Turquia e EUA.
O MOONSHINE foi descoberto pela primeira vez em setembro de 2019 como parte de ataques cibernéticos visando a comunidade tibetana, com o Citizen Lab atribuindo seu uso a um operador que rastreia sob o apelido POISON CARP, o qual tem sobreposições com os grupos de ameaças Earth Empusa e Evil Eye.
Como um kit de exploração baseado em Android, é conhecido por utilizar várias explorações de navegador Chrome com o objetivo de implantar payloads que podem sifonar dados sensíveis de dispositivos comprometidos.
Em particular, incorpora código para mirar em várias aplicações como Google Chrome, Naver e aplicativos de mensagens instantâneas como LINE, QQ, WeChat e Zalo que incorporam um navegador dentro do aplicativo.
Conforme a Trend Micro, o Earth Minotaur não tem conexões diretas com o Earth Empusa.
Mirando principalmente nas comunidades tibetanas e uigures, o ator de ameaças foi encontrado utilizando uma versão atualizada do MOONSHINE para infiltrar em dispositivos e, subsequentemente, infectá-los com o DarkNimbus.
A nova variante adiciona ao seu arsenal de exploração o
CVE-2020-6418
, uma vulnerabilidade de confusão de tipo no motor JavaScript V8 que o Google corrigiu em fevereiro de 2020 após relatos de que havia sido armada como um zero-day.
"O Earth Minotaur envia mensagens cuidadosamente elaboradas via aplicativos de mensagens instantâneas para atrair vítimas a clicar em um link malicioso embutido", disseram os pesquisadores.
Eles se disfarçam como diferentes personagens em chats para aumentar o sucesso de seus ataques de engenharia social.
Os links falsos levam a um dos pelo menos 55 servidores do kit de exploração MOONSHINE que cuidam da instalação da backdoor DarkNimbus nos dispositivos alvo.
Em uma tentativa inteligente de decepção, esses URLs se disfarçam como links aparentemente inofensivos, fingindo ser anúncios relacionados à China ou relacionados a vídeos online de músicas e danças tibetanas ou uigures.
"Quando uma vítima clica em um link de ataque e é redirecionada para o servidor do kit de exploração, ele reage com base nas configurações embutidas", disse a Trend Micro.
O servidor redirecionará a vítima para o link legítimo disfarçado uma vez que o ataque estiver concluído, para evitar que a vítima perceba qualquer atividade incomum.
Em situações em que o navegador Tencent baseado em Chromium não é suscetível a nenhuma das explorações suportadas pelo MOONSHINE, o servidor do kit é configurado para retornar uma página de phishing que alerta o usuário do WeChat de que o navegador dentro do aplicativo (uma versão personalizada do Android WebView chamada XWalk) está desatualizado e precisa ser atualizado clicando em um link de download fornecido.
Isso resulta em um ataque de degradação do motor de navegador, permitindo assim que o ator de ameaças tire vantagem do framework MOONSHINE explorando as falhas de segurança não corrigidas.
Um ataque bem-sucedido causa a implantação de uma versão trojanizada do XWalk no dispositivo Android e substitui sua contraparte legítima dentro do aplicativo WeChat, abrindo caminho, em última instância, para a execução do DarkNimbus.
Acredita-se que a backdoor tenha sido desenvolvida e ativamente atualizada desde 2018, usando o protocolo XMPP para se comunicar com um servidor controlado pelo atacante e suporta uma lista exaustiva de comandos para coletar informações valiosas, incluindo metadados do dispositivo, capturas de tela, favoritos do navegador, histórico de chamadas telefônicas, contatos, mensagens SMS, geolocalização, arquivos, conteúdo da área de transferência e uma lista de aplicativos instalados.
Também é capaz de executar comandos shell, gravar chamadas telefônicas, tirar fotos e abusar das permissões dos serviços de acessibilidade do Android para coletar mensagens de DingTalk, MOMO, QQ, Skype, TalkBox, Voxer, WeChat e WhatsApp.
Por último, mas não menos importante, pode se desinstalar do telefone infectado.
A Trend Micro disse que também detectou uma versão para Windows do DarkNimbus que provavelmente foi montada entre julho e outubro de 2019, mas só foi usada mais de um ano depois, em dezembro de 2020.
Ela carece de muitos dos recursos da sua variante Android, mas incorpora uma ampla gama de comandos para coletar informações do sistema, a lista de aplicativos instalados, teclas digitadas, dados da área de transferência, credenciais salvas e histórico de navegadores web, bem como ler e fazer upload de conteúdo de arquivo.
Embora as origens exatas do Earth Minotaur estejam atualmente incertas, a diversidade nas cadeias de infecção observadas combinadas com ferramentas de malware altamente capazes não deixam dúvidas de que este é um ator de ameaças sofisticado.
O grupo de ameaças recém-designado também é a mais recente adição a uma longa lista de adversários que têm como alvo a diáspora tibetana e uigur, juntando-se a grupos de hackers como Earth Wendigo, Scarlet Mimic, Flea, EvilBamboo e Evasive Panda.
"O MOONSHINE é um toolkit que ainda está em desenvolvimento e foi compartilhado com vários atores de ameaças, incluindo Earth Minotaur, POISON CARP, UNC5221, entre outros", teorizou a Trend Micro.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...