0
0
Um ator de ameaça desconhecido e provavelmente avançado está usando uma nova combinação de ferramentas de código aberto, esteganografia e uma técnica de bypass de detecção para atacar agências governamentais, empresas imobiliárias e empresas de construção na França.
Pesquisadores do Proofpoint que acompanham a campanha de phishing até agora não foram capazes de identificar um motivo para isso ou o ator de ameaça por trás dos ataques. Mas em um blog na segunda-feira, o fornecedor de segurança de e-mail descreveu a combinação de táticas e técnicas na campanha como somando uma “cadeia de ataque única”.
Um compromisso bem-sucedido permitiria que o ator de ameaças tomasse uma variedade de ações, incluindo roubar dados, instalar malware adicional ou assumir o controle completo de sistemas infectados, alertou o Proofpoint.
A isca de phishing na campanha é um documento do Word macro-habilitado que pretende conter mensagens relacionadas ao Regulamento Geral de Proteção de Dados (GDPR) da UE. Quando a macro é executada, ela alcança uma URL de imagem e baixa um script PowerShell que está escondido usando esteganografia na imagem de Swiper, um personagem em um show de desenho animado infantil. O script Do PowerShell, por sua vez, baixa e instala o Chocolatey, um instalador de software para ambientes Windows que está disponível tanto como uma ferramenta de código aberto gratuito quanto como um produto pago e multifuncional.
O script PowerShell usa chocolatey para instalar Python e um instalador de pacote Python. Esse instalador, por sua vez, é usado para baixar vários outros componentes, incluindo um cliente proxy reverso baseado em Python chamado PySocks para enviar tráfego através de servidores proxy HTTP e SOCKS. No próximo passo, o script PowerShell baixa um backdoor — que o Proofpoint chamou de “Serpente” — no sistema comprometido. O backdoor então fornece periodicamente um servidor proxy Tor remoto (onion.pet) esperando por comandos específicos e envia a saída de qualquer comando para um segundo servidor proxy Tor monitorado por invasor. A cadeia de ataque termina com um comando que redireciona o destinatário de e-mail para um site de ajuda do Microsoft Office.
Proofpoint disse que esta é a primeira vez que ele observou um ator de ameaça usando Chocolatey em uma campanha de phishing. Da mesma forma, o uso do Python também é único e não é algo que o Proofpoint normalmente observa entre os autores de malware, disse o fornecedor de segurança.
Atividade de fundo
Toda a atividade maliciosa ocorre em segundo plano. A única coisa que o usuário vê no final é um pop-up da Microsoft que os redireciona para uma página da Microsoft, diz Sherrod DeGrippo, vice-presidente, pesquisa e detecção de ameaças no Proofpoint. “Quando as macros são ativadas, o conteúdo malicioso é carregado automaticamente em segundo plano para que um destinatário não veja a atividade em sua tela”, diz DeGrippo. “Por exemplo, com a imagem do Swiper, o PowerShell chama o jpg para obter os dados ofuscados e executa comandos de follow-on sem alertar um usuário que a atividade está ocorrendo ou mostrar à vítima o próprio JPG”, diz ela.
Notável nesta cadeia de ataque é que muitas das ferramentas usadas, como Powershell, Chocolatey e PySocks, são ferramentas legítimas que poderiam ser encontradas legitimamente em um hospedeiro, diz DeGrippo.
Um aspecto particularmente significativo da cadeia de ataque é como ele usa o schtasks.exe agendador de trabalho para tentar contornar mecanismos de detecção de malware. “A técnica é nova em sua aplicação de schtask.exe”, observa DeGrippo. “Historicamente, o schtask foi alavancado como um mecanismo de persistência – por meio da adição de uma tarefa – para garantir que as cargas carregadas de memória persistam após uma reinicialização.”
Os autores de malware também o usaram como um meio de execução inicial para uma carga secundária ou conta-gotas, diz ela.
O que é único neste caso é que o schtask não é usado para repetir uma tarefa. Em vez disso, ele é usado para criar uma tarefa única que essencialmente resulta em um arquivo executável sendo executado como um binário assinado pela Microsoft — ou de uma maneira que a detecção de ponto final baseada em heurística e ferramentas AV provavelmente confiariam, diz DeGrippo. Embora muitos componentes do caminho de ataque sejam únicos, como o uso de imagens codificadas, o uso de dois servidores onion.pet e o uso de schtasks.exe para criar uma tarefa única, a cadeia de ataque não é necessariamente sofisticada, acrescenta.
FONTE: DARK READING