0
0
A campanha está coletando capturas de tela, teclas, credenciais, feeds de webcam, dados de navegador e área de transferência e muito mais, com cargas de RevengeRAT ou AsyncRAT.
Uma campanha de ataque cibernético que vai depois que os alvos da aviação foram descobertos, que está espalhando malware de trojan de acesso remoto (RAT) empenhado em espionagem cibernética.
Pesquisadores da Microsoft disseram esta semana no Twitter que os e-mails de phishing são o principal vetor de ataque. Indivíduos nos setores aeroespacial e de viagens estão sendo alvo de uma série de gambitos, como usar o ardil de precisar de ajuda de transporte-fretamento.
“A campanha usa e-mails que falsificam organizações legítimas, com iscas relevantes para a aviação, viagens ou carga”, segundo a Microsoft.
Com o tema “Pedido de Fretamento de Contrato/Pedido de Carta de Carga”, uma versão dos e-mails diz: “Caro de plantão, estamos procurando a aeronave de carga para cumprir abaixo do contrato. O voo deve ser operado todos os dias durante 5-8 meses de operação contínua a partir de 15 de maio de 2021.”
Em outros casos, os e-mails pretendem convidar alvos para um evento oficial da empresa, como esta mensagem fingindo ser da Airbus:
Fonte: Microsoft
Os e-mails contêm uma imagem vinculada posando como um arquivo PDF – o link incorporado é normalmente gerado com um serviço web legítimo, de acordo com os tweets, o que ajuda os e-mails a escapar dos filtros de segurança.
Se o alvo clicar na imagem, um carregador recém-descoberto apelidado de Snip3 baixará, que vem na forma de um VBScript malicioso. Snip3, por sua vez, busca as cargas RAT: Ou as cepas RevengeRAT ou AsyncRAT.
RevengeRAT é uma família de malware de commodities que foi usada pelo grupo de ameaças APT33, ligado ao Irã, no passado. Enquanto isso, o AsyncRAT é uma ferramenta de administração remota legítima e de código aberto, que tem sido usada maliciosamente por uma série de ciberdispetórios. É entregue usando vários métodos como spear-phishing, malvertising, kits de exploração e outras técnicas.
“Os atacantes usam os trojans de acesso remoto para roubo de dados, atividade de acompanhamento e cargas adicionais, incluindo o Agente Tesla, que eles usam para exfiltração de dados”, de acordo com a Microsoft. “Os trojans reexame continuamente dos componentes até que sejam capazes de injetar em processos como RegAsm, InstallUtil ou RegSvcs. Eles roubam credenciais, capturas de tela e dados da webcam, dados do navegador e da área de transferência, sistema e rede e exfiltram dados geralmente via SMTP Port 587.”
Uma vez instalados, os RATs se conectam a um servidor de comando e controle (C2) hospedado em um site de hospedagem dinâmico para se registrar com os invasores.
“[Ele] então usa um PowerShell codificado por UTF-8 e técnicas sem arquivo para baixar três estágios adicionais de pastebin[.] com ou sites similares”, disse a Microsoft.
Roger Grimes, evangelista de defesa orientado por dados da KnowBe4, disse que a campanha mostra uma nova tendência na atividade de gangues de malware: especializada em atacar determinados setores verticais além de metas financeiras e governamentais.
“O alvo de determinadas indústrias agora está frequentemente apontando para gangues de malware particulares”, disse ele ao Threatpost. “Muitas gangues se tornaram mais especializadas, visando uma indústria específica em que têm especialmente boa experiência e sucesso. Para aumentar as chances de conseguir uma vítima em potencial para executar malware, o invasor tem que fazer com que o ataque de engenharia social e phishing pareça o mais próximo possível de uma comunicação interna ou parceira. Especializada em uma determinada indústria ajuda a fazer isso.”
Esse tipo de abordagem de “atribuição de batida” permite que os atacantes melhorem em seus trabalhos ao longo do tempo também, acrescentou.
“O invasor, à medida que ganha cada vez mais experiência na indústria, começa a não apenas coletar nomes de parceiros que eles podem usar contra outros parceiros confiáveis, mas começa a entender a terminologia interna e os tópicos que os insiders da indústria usam uns com os outros”, disse Grimes. “Tudo em tudo, toda vez que você vê uma determinada indústria especificamente alvo de um pedaço de malware ou uma gangue de malware em particular, isso não é bom. Isso significa que eles estão mirando a indústria por uma razão e se sentem confortáveis com metas comprometedoras dentro dessa indústria. Neste caso, é aeroespacial e viagens, e isso não é bom em um monte de níveis.”
Carregador de Snip3 traz os RATs
Os ossos desta campanha foram observados em outros lugares. Morphisec em uma análise anterior na semana passada foi o primeiro a quebrar o carregador usado nos ataques da aviação. Ele disse que também viu o Snip3 sendo usado para entregar tanto o ASyncRAT quanto o RevengeRAT, “que muitas vezes vêm de uma plataforma RAT de código aberto originalmente disponível através do repositório DO GITHUB NYANxCAT”. Não especificou os alvos da indústria.
Pesquisadores de lá, novamente se encaixando com as observações da Microsoft, também identificaram uma campanha que usou o Agente Tesla (e outra que usou o NetWire RAT).
Morphisec descreveu Snip3 como um “cripteiro altamente sofisticado como serviço” que tem sido usado para entregar uma ampla gama de famílias RAT em máquinas de vítimas, a partir de fevereiro deste ano.
Os pesquisadores também disseram que o Snip3 implementa várias funções para contornar a detecção, incluindo:
- Executando o código PowerShell com o parâmetro ‘remoto assinado’
- Validando a existência da virtualização do Windows Sandbox e VMWare
- Usando Pastebin e top4top para encenação
- Compilação de carregadores RunPE no ponto final em tempo de execução
Na primeira fase da cadeia de ataque, o VBScript inicialmente baixado começa a execução de um script PowerShell de segundo estágio, baixado do serviço Pastebin.
“Esse script salva esse segundo estágio em \AppData\Local\Temp\SysTray.PS1 e também cria um VBS dentro da pasta de inicialização da vítima que o executa para manter a persistência”, de acordo com a análise da Morphisec.
O script PowerShell do segundo estágio parece ser dinâmico com base na configuração de Snip3, acrescentaram os pesquisadores. Ele tenta detectar se o script foi executado nos ambientes Microsoft Sandbox, VMWare, VirtualBox ou Sandboxie. Se o script identificar um desses ambientes de máquina virtual, o script terminará sem carregar a carga RAT.
“Os dois principais propósitos desta etapa são detectar ambientes virtuais e decretar uma carga reflexiva do RunPE para executar a carga RAT dentro de um processo windows oco”, de acordo com a análise.
Uma vez feito o script compilando o código RunPE, o PowerShell carrega e executa-o juntamente com a carga útil RAT e o caminho executável para oco para injetar a carga final, que é escolhida pelos invasores. É eventualmente executado dentro da memória do processo oco.
“A maioria dos PowerShells deste estágio são configurados para ocas InstallUtil.exe, embora alguns deles estejam configurados para RegSvcs ocos.exe”, de acordo com a Morphisec – que se encaixa com o que a Microsoft está vendo na campanha de aviação.
FONTE: THREATPOST