0
0
Um agente de ameaças está explorando a vulnerabilidade de execução remota de código Follina (RCE) do ano passado para implantar o trojan de acesso remoto (RAT) XWORM e o roubo de dados contra alvos no setor de hospitalidade.
Em 12 de maio, pesquisadores da Securonix detalharam a campanha, que usa Follina para soltar código Powershell em máquinas alvo, que está repleta de várias referências ao 4Chan e memes. Assim, os pesquisadores se referem à campanha como “MEME#4CHAN”, devido à linha amorfa que traça entre furtividade e humor na internet.
O fluxo de ataque MEME#4CHAN
Os ataques MEME#4CHAN começam com um e-mail de phishing, com um gancho de hospitalidade na linha de assunto – algo como “Reserva de quarto”. Em anexo será anexado um documento do Microsoft Word aprofundando o tema, como “Detalhes para reserva.docx”.
Quando uma vítima clica no documento, é apresentada uma caixa de diálogo: “Este documento contém links que podem se referir a outros arquivos. Deseja atualizar este documento com os dados dos arquivos vinculados?” Mas, independentemente de clicarem em “Sim” ou “Não”, um documento do Word é aberto, contendo imagens roubadas de uma carteira de motorista francesa e cartão de débito.
A escolha de um arquivo .docx é notável. Os hackers costumavam usar macros maliciosas em arquivos do Office para ganhar uma posição em uma máquina alvo, o que não é uma tática tão eficaz agora que a Microsoft decidiu bloquear macros de arquivos da Internet por padrão.
Sem essa opção, o MEME#4CHAN recorre a Follina. Follina (CVE-2022-30190) é uma vulnerabilidade RCE que carrega uma pontuação CVSS “alta” de 7,8. Ele permite que os invasores criem arquivos do Microsoft Word especialmente criados que enganam a Ferramenta de Suporte de Diagnóstico da Microsoft para baixar e executar código mal-intencionado de um servidor controlado por invasores. O bug foi divulgado e corrigido há um ano.
Através do Follina, o MEME#4CHAN baixa um script Powershell ofuscado assim que o documento do Word é aberto. O roteiro é notável por suas referências laboriosas, memes e piadas pouco inspiradoras. O autor lamenta em vários pontos “por que meu ex me deixou”, por exemplo, e dá diretórios, variáveis e funções como “mememan”, “shakalakaboomboom” e “stepishelpme”.
As piadas podem ser consideradas uma tática furtiva única, projetada para repelir instantaneamente qualquer pesquisador de bom gosto. Mas os pesquisadores da Securonix observaram que o ataque também usa outras ofuscações mais tradicionais.
Na verdade, os pesquisadores encontraram variáveis no código do Powershell que variam de “semi-” a “pesadamente” ofuscado, incluindo um binário .NET “fortemente ofuscado” que, uma vez decodificado, revelou-se como o XWORM RAT.
“A quantidade relativa de esforço investido em ofuscação e ocultação é maior do que para os ataques semelhantes que observamos”, diz Oleg Kolesnikov, vice-presidente de pesquisa e detecção de ameaças da Securonix, “e ainda não está claro por quê”.
O que é XWORM?
XWORM é um pouco de um canivete suíço de um RAT.
Por um lado, ele faz coisas RAT — verificando antivírus, comunicando-se com um servidor de comando e controle (C2), abrindo um backdoor para uma máquina e criando uma entrada de execução automática para garantir a persistência nas reinicializações.
Ao mesmo tempo, ele vem repleto de recursos de espionagem, incluindo recursos para acessar o microfone e a câmera de um dispositivo e keylogging; e pode instigar ataques subsequentes, como negação de serviço distribuída (DDoS) ou até mesmo ransomware.
Dito isso, o malware é de qualidade duvidosa, alguns observam.
Várias iterações do XWORM vazaram online nos últimos meses, incluindo uma versão 3.1 no mês passado. O indivíduo que publicou o código 3.1 no GitHub não parecia tê-lo em alta consideração.
“Tem tanto Rato sh*tty [sic], XWorm é um deles. Estou compartilhando para que você não pague por essas coisas à toa”, escreveu a pessoa em um arquivo README.
“Em comparação com algumas das outras ferramentas de ataque subterrâneo semelhantes para as quais o código-fonte vazou recentemente”, avalia Kolesnikov, “o XWORM parece ter recursos indiscutivelmente um pouco menos avançados, embora [sua utilidade] muitas vezes dependa da capacidade específica [necessária]. Depende de como os agentes de ameaças mal-intencionados usam a ferramenta como parte de um ataque.”
Quais cibercriminosos estão por trás do MEME#4CHAN?
De acordo com os pesquisadores, é provável que o autor por trás do MEME#4CHAN fale inglês, devido a todas as referências do 4Chan em seu código.
O Dark Reading também observou independentemente várias variáveis no código que fazem referência a pontos de contato culturais indianos, indicando que o hacker é de origem indiana ou familiarizado o suficiente com a cultura indiana para fingir.
Levar mais evidências em conta adiciona cor e nebulosidade ao quadro de atribuição. “A metodologia de ataque é semelhante à do TA558, uma gangue de cibercriminosos, onde e-mails de phishing foram entregues visando o setor de hospitalidade”, explicaram os pesquisadores da Securonix.
Ele acrescentou, no entanto, que “o TA558 também normalmente usa uma ampla gama de artefatos de campanha C2 e cargas úteis semelhantes, mas não positivamente em linha com o que testemunhamos através da campanha MEME#4CHAN”.
Quem está por trás disso, não parece que essa campanha acabou, já que vários de seus domínios C2 associados ainda estão ativos.
Os pesquisadores recomendaram que, para evitar se tornarem vítimas em potencial, as organizações devem evitar abrir anexos inesperados, tomar cuidado com sites de hospedagem de arquivos maliciosos e implementar detecção de anomalias de log e lista branca de aplicativos.
FONTE: DARK READING