0
0
Uma nova técnica de ataque sem arquivo que abusa do serviço DE RELATÓRIOS de Erros do Microsoft Windows (WER) é o trabalho de um grupo de hackers que ainda não foi identificado.
De acordo com os pesquisadores de segurança do Malwarebytes Hossein Jazi e Jérôme Segura, o vetor de ataque conta com malware se enterrando em executáveis baseados em WER para evitar levantar suspeitas.
Em um post no blog na terça-feira, a dupla disse que o novo ataque “Kraken” – embora não uma técnica completamente nova em si – foi detectado em 17 de setembro.
Um documento de phishing de isca encontrado pela equipe foi embalado em um . Arquivo ZIP. Intitulado “Manual de compensação.doc”, o arquivo afirma conter informações relacionadas aos direitos de compensação do trabalhador, mas quando aberto, é capaz de acionar uma macro maliciosa.
A macro usa uma versão personalizada do módulo CactusTorch VBA para lançar um ataque sem arquivo, possibilitado através do shellcode.
O CactusTorch é capaz de carregar um binário compilado pelo .Net chamado “Kraken.dll” na memória e executá-lo via VBScript. Esta carga injeta um shellcode incorporado no WerFault.exe, um processo conectado ao serviço WER e usado pela Microsoft para rastrear e resolver erros do sistema operacional.
“Esse serviço de emissão de relatórios, WerFault.exe, geralmente é invocado quando um erro relacionado ao sistema operacional, recursos do Windows ou aplicativos acontece”, diz o Malwarebytes. “Quando as vítimas veem o WerFault.exe funcionando em sua máquina, eles provavelmente assumem que algum erro aconteceu, enquanto neste caso eles foram realmente alvo de um ataque.”
Essa técnica também é usada pelo NetWire Remote Access Trojan (RAT) e pelo ransomware Cerberque rouba criptomoedas .
O shellcode também é ordenado a fazer uma solicitação HTTP para um domínio codificado, provavelmente para baixar malware adicional.
Os operadores do Kraken seguem com vários métodos anti-análise, incluindo ofuscação de código, forçando o DLL a operar em vários segmentos, verificando ambientes de caixa de areia ou depuração e escaneando o registro para ver se as máquinas virtuais da VMWare ou o VirtualBox da Oracle estão em execução. Os desenvolvedores programaram o código malicioso para encerrar se forem encontrados indicadores das atividades de análise.
O ataque kraken provou ser difícil de atribuir, no momento. A URL de destino codificada do malware foi retirada no momento da análise, e sem isso, marcadores claros indicando um APT ou outro não são possíveis.
No entanto, o Malwarebytes diz que há alguns elementos que lembraram os pesquisadores do APT32, também conhecido como OceanLotus, um APT vietnamita que se acredita ser responsável por ataques contra BMW e Hyundai em 2019.
FONTE: ZDNET