0
0
Uma campanha de phishing direcionada a organizações na Europa Oriental está aproveitando uma antiga técnica de desvio do Controle de Conta de Usuário (UAC) do Windows para descartar o Trojan de acesso remoto Remcos (RAT) , para realizar espionagem cibernética em toda a região, descobriram pesquisadores.
A campanha usa e-mails que parecem vir de instituições legítimas e conceituadas no país-alvo para atrair as vítimas, revelaram pesquisadores do SentinelOne em uma postagem recente no blog . Se conseguirem fazer com que os usuários cliquem em um link malicioso, os invasores utilizam o carregador de malware DBatLoader, que abusa de uma técnica identificada há mais de dois anos para configurar pastas fictícias fictícias para contornar o Windows UAC e descartar o RAT, disseram os pesquisadores.
O DBatLoader é conhecido por usar a infraestrutura de nuvem pública para hospedar seu componente de preparação de malware, disseram os pesquisadores do SentinelOne. No caso desta campanha, eles observaram links de download para sites Microsoft OneDrive e Google Drive que foram usados para essa finalidade, um dos quais estava ativo há mais de um mês, disseram eles.
“Quando um usuário descompacta o anexo e executa o executável dentro dele, o DBatLoader baixa e executa uma carga útil de segundo estágio ofuscada de um local de nuvem pública”, escreveu Aleksandar Milenkoski, pesquisador sênior de ameaças do SentinelOne, no post.
O executável neste caso é o Remcos RAT, um malware que os agentes de ameaças com motivações cibercriminosas e espionagem usam amplamente para controlar computadores e coletar teclas digitadas, áudio, vídeo, capturas de tela e informações do sistema, além de fornecer outros malwares, observaram os pesquisadores.
De fato, a campanha observada pelo SentinelOne provavelmente está ligada a relatórios do CERT ucraniano de “campanhas de phishing visando instituições estatais ucranianas para fins de espionagem usando arquivos protegidos por senha como anexos de e-mail”, que também entregam o RAT, escreveu Milenkoski.
Iscas de phishing baseadas em reputação
Em vez de usar mensagens de engenharia social na campanha, os invasores confiam apenas na reputação das supostas organizações das quais as mensagens são enviadas para induzir as vítimas a morder a isca, disseram os pesquisadores do SentinelOne.
Na verdade, as mensagens geralmente não contêm nenhum texto, mas apenas o anexo malicioso, disseram eles. Nos casos em que as mensagens incluem texto, ele é escrito no idioma do país de destino, acrescentaram os pesquisadores. Além disso, os invasores normalmente enviam os e-mails para os departamentos de vendas dos alvos ou endereços de e-mail de contato disponíveis publicamente para as organizações. Os e-mails incluem anexos na forma de tar.lzarchives que normalmente se disfarçam como documentos financeiros, como faturas ou documentação de licitação que parecem originar-se de instituições ou organizações comerciais relacionadas ao alvo. Alguns anexos pretendem ser documentos do Microsoft Office, LibreOffice ou PDF e usam extensões duplas e/ou ícones de aplicativos para enganar as vítimas.
“Muitos dos e-mails de phishing que observamos foram enviados de contas de e-mail com domínios de nível superior do mesmo país onde o alvo está baseado”, escreveu Milenkoski.
“Observamos e-mails enviados do que parecem ser contas de e-mail privadas comprometidas e contas de serviços de e-mail públicos que também são usados pelos alvos e pelas instituições ou organizações legítimas, que supostamente estão enviando o e-mail”, acrescentou Milenkoski.
Abusando do Windows UAC Bypass
Quando um usuário descompacta o anexo e executa o executável dentro dele, o DBatLoader baixa e executa dados ofuscados de carga útil de segundo estágio de um local de nuvem pública mencionado acima, que então cria e executa um script de lote inicial do Windows no diretório %Public%\Libraries, o disseram os pesquisadores.
Este script abusa de um método identificado anteriormente para ignorar o Windows UAC que envolve a criação de diretórios fictícios confiáveis, como %SystemRoot%\System32; isso permite que os invasores conduzam atividades com privilégios elevados sem alertar os usuários, disseram os pesquisadores. O pesquisador de segurança Daniel Gebert descobriu e posteriormente revelou o desvio do UAC em uma postagem de julho de 2020 em seu blog de segurança.
O desvio ocorre por meio de uma combinação de diretórios confiáveis simulados e sequestro de DLL, que juntos fazem com que o Windows eleve automaticamente o processo sem emitir um prompt do UAC, escreveu Milenkoski.
O desvio resultante permite que o DBatLoader estabeleça persistência nas reinicializações do sistema, copiando-se no diretório %Public%\Libraries e criando uma chave de registro de execução automática que aponta para um arquivo de atalho da Internet, explicou ele no post. Isso executa o executável DBatLoader no diretório simulado, que por sua vez executa o Remcos RAT por meio de injeção de processo.
Os pesquisadores observaram uma ampla variedade de configurações Remcos RAT nos sistemas das vítimas, a maioria configurada para keylogging e recursos de roubo de captura de tela, “bem como domínios DNS dinâmicos ‘duckdns’ para fins de comando e controle”, escreveu Milenkoski.
Reduzindo o risco cibernético e evitando concessões
Os pesquisadores fizeram várias recomendações aos administradores de segurança para evitar a campanha, principalmente devido ao uso do DBatLoader na nuvem pública.
Em primeiro lugar, eles aconselharam vigilância contra solicitações de rede maliciosas para instâncias de nuvem pública, observando que o uso de infraestrutura de nuvem pública pelos invasores para hospedar malware é uma tentativa de fazer o tráfego de rede para entrega de malware parecer legítimo e, portanto, mais difícil de detectar pelas organizações. “Essa tática é popular entre cibercriminosos e agentes de ameaças de espionagem”, observou Milenkoski.
Os pesquisadores também recomendaram que os administradores monitorassem atividades suspeitas de criação de arquivos no diretório %Public%\Library e atividades de execução de processos que envolvem caminhos do sistema de arquivos com espaços à direita, especialmente \Windows \. “Este último é um indicador confiável de malware tentando contornar o Windows UAC abusando de diretórios fidedignos fictícios, como %SystemRoot%\System32”, escreveu Milenkoski.
Outra tática para evitar comprometimento que os administradores devem considerar é configurar o Windows UAC para “sempre notificar”, que sempre alertará os usuários quando um programa tentar fazer alterações nos computadores em uma rede comercial, acrescentou.
Os pesquisadores também aplicaram conselhos gerais para evitar o comprometimento de phishing de qualquer forma, garantindo que administradores e funcionários estejam cientes de como são os e-mails maliciosos e como evitar o envolvimento com eles.
FONTE: DARK READING