0
0
A backdoor se espalha por meio de documentos do Word enviados por meio de um suposto aplicativo de emprego baseado no LinkedIn
Pesquisadores de segurança cibernética da SafeBreach emitiram alerta sobre uma nova backdoor do PowerShell que se disfarça como parte do processo de atualização do Windows para evitar a detecção. A backdoor se espalha por meio de documentos do Word (“Apply Form.docm.”) enviados por meio de um suposto aplicativo de emprego baseado no LinkedIn. O documento malicioso foi postado na Jordânia em 25 de agosto.
Os especialistas acreditam que a backdoor é distribuída como parte de uma campanha de spear phishing conduzida por um operador de ameaças sofisticado.
Ao abrir o documento e habilitar a macro incorporada, um script do PowerShell é descartado na máquina da vítima. Ele também obtém persistência criando uma tarefa agendada como parte do processo de atualização do Windows e executando o script que está localizado em uma pasta de atualização falsa. Uma vez executado o script, ele iniciará um segundo script do PowerShell e, antes de efetivar a tarefa agendada, dois outros scripts (Script.ps1 e Temp.ps1) serão descartados no sistema.
“Antes de executar a tarefa agendada, ele criará dois scripts do PowerShell, chamados Script.ps1 e Temp.ps1. O conteúdo dos scripts do PowerShell é armazenado em caixas de texto dentro do documento do Word e será salvo no mesmo diretório de atualização falso de %AppData%\Local\Microsoft\Windows\Update”, diz a análise publicada pela SafeBreach.
Segundo a empresa, ambos os scripts são ofuscados e com uma taxa de detecção zero no VirusTotal. “O Script.ps1 se conecta aos servidores de comando e controle (C&C) e envia um ID da vítima para os operadores, depois aguarda um comando. O comando é criptografado usando AES-256 CBC. A análise da contagem de IDs revelou que os invasores comprometeram um total de 70 computadores.
Os pesquisadores do SafeBreach explicam que o script Temp.ps1 decodifica o comando na resposta, executa-o e, em seguida, carregando o resultado de forma criptografada por meio de uma solicitação POST para o servidor de comando e controle.
Os especialistas encontraram a seguinte porcentagem de cada tipo de comando esperando pelas vítimas:
- 66%: comando de lista de processos de exfiltração
- 23%: Comando vazio – Inativo (o comando começa com “:”)
- 7%: Enumerações de usuários locais – whoami e whoami /all + lista de processos
- 2%: Remover arquivos da pasta pública + contas de rede + nome do computador, configurações de IP
- 1%: Listar arquivos em pastas especiais – arquivos de programas, downloads, desktop, documentos, appdata
- 1%: script inteiro para enumerações de usuários A.D e enumerações de clientes RDP (consulte o Apêndice B)
A SafeBreach publicou indicadores de comprometimento (IoCs) para a backdoor do PowerShell.
FONTE: CISO ADVISOR