Pesquisadores de segurança cibernética detalharam o funcionamento interno de um loader altamente evasivo chamado "in2al5d p3in4er" (lê-se: impressora inválida) que é usado para entregar o malware de roubo de informações Aurora.
"O loarder in2al5d p3in4er é compilado com o Embarcadero RAD Studio e visa estações de trabalho de endpoint usando técnicas avançadas anti-VM (máquina virtual)", disse a empresa de segurança cibernética Morphisec em um relatório compartilhado com o The Hacker News.
Aurora é um roubo de informações baseado em Go que surgiu no cenário de ameaças no final de 2022.
Oferecido como malware de commodity para outros atores, é distribuído por meio de vídeos do YouTube e sites falsos de download de software rachado com SEO.
Clicar nos links presentes nas descrições de vídeos do YouTube redireciona a vítima para sites falsos onde são atraídos para baixar o malware sob a aparência de um utilitário aparentemente legítimo.
O loarder analisado pela Morphisec é projetado para consultar o ID do fornecedor da placa gráfica instalada em um sistema e compará-lo com um conjunto de IDs de fornecedor permitidos (AMD, Intel ou NVIDIA).
Se o valor não corresponder, o loarder se encerra.
O loarder, por fim, decifra a carga útil final e a injeta em um processo legítimo chamado "sihost.exe" usando uma técnica chamada process hollowing.
Alternativamente, alguns exemplos de loarders também alocam memória para gravar a carga útil decifrada e a invocam a partir daí.
"Durante o processo de injeção, todos os exemplos de loarders resolvem dinamicamente as APIs do Windows necessárias e decifram esses nomes usando uma chave XOR: 'in2al5d p3in4er'", disseram os pesquisadores de segurança Arnold Osipov e Michael Dereviashkin.
Outro aspecto crucial do loarder é seu uso do Embarcadero RAD Studio para gerar executáveis para várias plataformas, permitindo assim que ele evite a detecção.
"Aqueles com a menor taxa de detecção no VirusTotal são compilados usando 'BCC64.exe', um novo compilador C++ baseado no Clang da Embarcadero", disse a empresa de segurança cibernética israelense, destacando sua capacidade de evitar sandboxes e máquinas virtuais.
"Este compilador usa uma base de código diferente, como 'Standard Library' (Dinkumware) e 'Runtime Library' (compiler-rt) e gera código otimizado que altera o ponto de entrada e o fluxo de execução.
Isso quebra os indicadores dos fornecedores de segurança, como assinaturas compostas de 'bloco de código malicioso/suspeito'."
Em resumo, as descobertas mostram que os atores de ameaças por trás do in2al5d p3in4er estão aproveitando métodos de engenharia social para uma campanha de alto impacto que emprega o YouTube como canal de distribuição de malware e direciona os espectadores para sites falsos com aparência convincente para distribuir o malware de roubo.
O desenvolvimento ocorre quando a Intel 471 descobriu outro loarder de malware, AresLoader, que é comercializado por US$ 300/mês como um serviço para atores criminosos empurrarem roubos de informações disfarçados de software popular usando uma ferramenta de binder.
Suspeita-se que o loarder tenha sido desenvolvido por um grupo com laços com o hacktivismo russo.
Algumas das principais famílias de malware espalhadas usando o AresLoader desde janeiro de 2023 incluem Aurora Stealer, Laplas Clipper, Lumma Stealer, Stealc e SystemBC.
Publicidade
Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...