0
0
Um grupo de hackers está implantando uma nova variedade de malware apelidada de USBCulprit que usa USBs e outros dispositivos de armazenamento para ajudar a roubar dados, de acordo com uma pesquisa da empresa de segurança Kaspersky.
Este malware personalizado parece ter sido desenvolvido por um grupo avançado de ameaças persistentes conhecido como Cycldek, que está ativo desde 2013 e tem como alvo principalmente organizações de defesa, energia e governo em partes do Sudeste Asiático, especialmente no Vietnã, de acordo com a Kaspersky.
E enquanto o malware USBCulprit parece ser entregue através de e-mails de phishing, o código malicioso, uma vez instalado em um dispositivo com espaço no ar, pode copiar e exfiltrar dados desse dispositivo para dispositivos de armazenamento portáteis, como uma unidade USB.
“Ele é capaz de se copiar para qualquer armazenamento removível recém-conectado”, disseram Giampaolo Dedola e Mark Lechtik, pesquisadores de segurança da Kaspersky, ao Information Security Media Group. “Esse armazenamento – tipicamente um USB – precisaria ser fisicamente conectado a outra máquina e ao malware nele executado manualmente para se espalhar para a frente.”
Embora a maioria dos ataques que a Kaspersky rastreou até o USBCulprit data de 2018, acredita-se que o malware ainda esteja ativo na natureza, de acordo com o relatório. Não se sabe quantas organizações são alvo e se alguma delas resultou em roubo de dados.
“Só podemos confirmar que o grupo tinha como alvo entidades diplomáticas e instituições governamentais localizadas em países do Sudeste Asiático”, observam Dedola e Lechtik. “O malware em si não distingue entre arquivos roubados com base no conteúdo, mas apenas em sua extensão. Portanto, só nos resta especular sobre a natureza dos documentos recuperados das vítimas.”
Ataque Sofisticado
Os ataques que a Kaspersky rastreou começam com e-mails de phishing politicamente temáticos que contêm documentos maliciosos em formato de texto rico. O malware usado na fase inicial desses ataques se aproveita de várias vulnerabilidades no Microsoft Office para infectar um dispositivo direcionado, de acordo com o relatório.
Uma vez que um dispositivo é infectado, o malware inicial implanta um Trojan de acesso remoto, ou RAT, chamado NewCore, de acordo com o relatório. O NewCore RAT vem em duas variantes chamadas BlueCore e RedCore, que se comportam de maneira semelhante e usam a mesma infraestrutura, mas são implantadas contra alvos diferentes e são supervisionadas por grupos de hackers separados dentro da organização Cycldek, de acordo com a Kaspersky.
“Os operadores por trás do cluster BlueCore investiram a maior parte de seus esforços em alvos vietnamitas com vários outliers no Laos e na Tailândia, enquanto os operadores do cluster RedCore começaram com foco no Vietnã e foram desviados para o Laos no final de 2018”, segundo o relatório.
BlueCore e RedCore foram projetados para implantar USBCulprit como a carga final dentro de um dispositivo infectado, de acordo com o relatório.
USBCulprit
Enquanto o USBCulprit foi recentemente descoberto e analisado pela Kaspersky, o código malicioso data de 2014 e mudou lentamente nos últimos anos, de acordo com Dedola e Lechtik. Uma das maiores mudanças é que uma vez implantado dentro de um dispositivo infectado, o USBCulprit agora é executado na memória do sistema e não em um disco rígido, observam os analistas.
“O malware não mudou muito ao longo dos anos. As modificações mais notáveis foram na forma como é carregada e executada, pela qual as versões mais recentes teriam a carga do USBCulprit exposta apenas na memória após a descriptografia e não no disco, como foi feito em versões anteriores”, disseram Dedola e Lechtik à ISMG.
O USBCulprit verifica um dispositivo infectado e executa o reconhecimento procurando arquivos específicos para copiar e exfiltrar. Ele também tem a capacidade de se mover lateralmente através do dispositivo, mas o malware aguardará a presença de um dispositivo de armazenamento removível, como uma chave USB, antes de copiar e remover arquivos, de acordo com a Kaspersky.
“Quando o bootstrapping e a coleta de dados são concluídos, o malware tenta interceptar a conexão de novas mídias e verificar se ela corresponde a uma unidade removível. Isso é conseguido executando um loop infinito, pelo qual o malware é colocado para dormir e acorda em intervalos constantes para verificar todas as unidades conectadas”, de acordo com o relatório.
Como o USBCulprit espera até detectar uma chave USB ou outros dispositivos removíveis, esses ataques provavelmente dependem de um operador humano que ganha acesso a esses dispositivos com falhas de ar, anexa o USB ou outro dispositivo de armazenamento e depois o remove, de acordo com a Kaspersky.
Grupo Cycldek
O grupo de hackers Cycldek, que também é conhecido como Goblin Panda, APT 27 e Conimes, parece ser chinês e está principalmente interessado em organizações no sudeste da Ásia, de acordo com a Kaspersky e a empresa de segurança CrowdStrike,que também tem acompanhado as atividades do grupo.
Embora esteja interessado principalmente no Vietnã, Cycldek também é conhecido por atacar organizações na Tailândia e no Laos, de acordo com a Kaspersky e a CrowdStrike.
Outros pesquisadores de segurança encontraram malwares que podem penetrar em dispositivos e redes com falhas de ar.
Por exemplo, em maio, a empresa de segurança ESET divulgou detalhes sobre novos malwares chamados Ramsay que são capazes de se infiltrar em redes com falhas de ar para roubar documentos, tirar capturas de tela e comprometer outros dispositivos (ver: Cyber-Espionage Malware Targets Air-Gapped Networks: Report).
FONTE: BANKINFO SECURITY