0
0
O DoD dos EUA e a agência DHS CISA publicaram um relatório de análise de malware para uma nova variante de malware rastreada como SLOTHFULMEDIA
A Força Nacional de Missão Cibernética (CNMF) do Departamento de Defesa dos EUA e a Agência de Segurança cibernética e infraestrutura do Departamento de Segurança Interna (CISA) publicaram um relatório de análise de malware que fornece detalhes técnicos de um novo conta-gotas rastreado como SLOTHFULMEDIA.
Como outras análises do MAR, o relatório fornece detalhes técnicos sobre a ameaça, incluindo indicadores de compromisso (IoC), sugestões de ações de resposta e recomendações para prevenir infecções.
“A amostra é um executor, que implanta dois arquivos quando executado. A primeira é uma ferramenta de acesso remoto (RAT) chamada ‘mediaplayer.exe”, que foi projetada para comando e controle (C2) de sistemas de computador vítimas. A análise determinou que o RAT tem a capacidade de encerrar processos, executar comandos arbitrários, tirar capturas de tela, modificar o registro e modificar arquivos em máquinas de vítimas.” lê o relatório conjunto.
“O segundo arquivo tem um nome aleatório de cinco caracteres e exclui o conta-gotas uma vez que o RAT tem persistência. A persistência é alcançada através da criação de um serviço chamado “Quadro de Tarefas”, que garante que o RAT seja carregado após uma reinicialização.”
Ao executar o malware SLOTHFULMEDIA, ele lança dois códigos maliciosos, um RAT e um componente que remove o conta-gotas assim que o RAT atinge persistência no sistema infectado.
O malware SlothfulMedia tem sido usado por um ator de ameaças sofisticado, o RAT permite que os invasores executem comandos arbitrários, encerrem processos, tirem capturas de tela, modifiquem o registro e façam alterações nos arquivos. O RAT se comunica com seu controlador C2 via Hypertext Transfer Protocol (HTTP) sobre o Protocolo de Controle de Transmissão (TCP).
As agências governamentais recomendam que usuários e administradores denunciem quaisquer atividades associadas ao malware, dando aos ataques que empregam esse malware a maior prioridade.
O malware também foi compartilhado no VirusTotal pelo Comando Cibernético dos EUA e alguns pesquisadores de malware também compartilharam regras e IoCs da Yara para a ameaça.
O relatório sobre a SLOTHFULMEDIA não fornece nenhuma informação sobre os atores de ameaça por trás deste malware, as agências dos EUA apenas revelaram que ele foi usado contra entidades na Índia, Cazaquistão, Quirguistão, Malásia, Rússia e Ucrânia.
O site SecurityWeek, citando a empresa de segurança ESET, relatou uma possível ligação entre o SLOTHFULMEDIA RAT e o ator de ameaças PowerPool, um ator de ameaça que foi visto em agosto de 2018 enquanto explorava uma vulnerabilidade do Windows zero-day.
Na época, o ator de ameaças aproveitou a exploração do Windows zero-day em ataques direcionados contra um pequeno número de usuários localizados nos Estados Unidos, Reino Unido, Alemanha, Ucrânia, Chile, Índia, Rússia, Filipinas e Polônia.
De acordo com a ESET, os atacantes modificaram o código-fonte de exploração disponível publicamente e o recompilaram.
O vetor de ataque do PowerPool são mensagens de phishing de lança, os pesquisadores da ESET apontaram que o mesmo grupo também foi responsável por uma campanha de spam vista pela SANS em maio de 2018 que usou arquivos Symbolic Link (.slk) para espalhar códigos maliciosos.
FONTE: SECURITY AFFAIRS