O injetor Freeze[.]rs baseado em Rust foi armado para introduzir uma série de malware nos alvos, em uma sofisticada campanha de phishing contendo um arquivo PDF malicioso que contorna a detecção e resposta de endpoint (EDR).
Descoberto pela Fortinet’s FortiGuard Labs em julho, a campanha tem como alvo vítimas em toda a Europa e América do Norte, incluindo especialidades químicas ou fornecedores de produtos industriais.
Eventualmente, essa cadeia culmina no carregamento do malware XWorm, estabelecendo comunicação com um servidor de comando e controle (C2), revelou uma análise da empresa. O XWorm pode executar uma ampla gama de funções, desde carregar ransomware até atuar como um backdoor persistente.
Outras revelações também revelaram o envolvimento do SYK Crypter, uma ferramenta frequentemente utilizada para distribuir famílias de malware por meio da plataforma de bate-papo da comunidade Discord. Esse criptografador desempenhou um papel no carregamento do Remcos, um sofisticado Trojan de acesso remoto (RAT) especializado em controlar e monitorar dispositivos Windows.
Colocando o EDR no gelo: sob o capô da cadeia de ataque Freeze[.]rs
Em sua investigação, a análise da equipe de algoritmos codificados e nomes de API rastreou a origem desse novo injetor até a ferramenta Red Team “Freeze.rs”, projetada explicitamente para criar cargas úteis capazes de contornar as medidas de segurança EDR.
“Este arquivo redireciona para um arquivo HTML e utiliza o protocolo ‘search-ms’ para acessar um arquivo LNK em um servidor remoto”, explicou uma postagem no blog da empresa . “Ao clicar no arquivo LNK, um script PowerShell executa Freeze[.]rs e SYK Crypter para outras ações ofensivas.”
Cara Lin, pesquisadora do FortiGuard Labs, explica que o injetor Freeze[.]rs chama syscalls do NT para injetar o shellcode, ignorando as chamadas padrão que estão na dll base do Kernel, que podem ser fisgadas.
“Eles usam o pequeno atraso que ocorre antes que um EDR comece a conectar e alterar a montagem de DLLs do sistema dentro de um processo”, diz ela. “Se um processo for criado em um estado suspenso, ele terá um mínimo de DLLs carregadas e nenhuma DLL específica de EDR será carregada, indicando que as syscalls em Ntdll.dll permanecem inalteradas.”
Lin explica que a cadeia de ataque é iniciada por meio de um arquivo PDF armadilhado, que funciona em conjunto com um protocolo “search-ms” para entregar a carga útil.
Este código JavaScript utilizou a funcionalidade “search-ms” para revelar o arquivo LNK localizado em um servidor remoto.
O protocolo “search-ms” pode redirecionar os usuários para um servidor remoto por meio de uma janela do Windows Explorer.
“Através do uso de um arquivo LNK enganoso disfarçado como um ícone PDF, ele pode enganar as vítimas fazendo-as acreditar que o arquivo se origina de seu próprio sistema e é legítimo”, observa ela.
Enquanto isso, “o SYK Crypter se copia para a pasta de inicialização para persistência, criptografa a configuração durante a codificação e a descriptografa na execução e também criptografa a carga útil compactada no recurso para ofuscação”, acrescenta ela.
Um downloader é utilizado juntamente com a codificação na primeira camada e, subsequentemente, uma segunda camada envolve ofuscação de string e criptografia de carga útil.
“Essa estratégia multicamadas foi projetada para aumentar a complexidade e o desafio da análise estática”, diz ela. “Finalmente, ele pode se encerrar ao reconhecer um fornecedor de segurança específico.”
Como se defender contra o aumento do risco de phishing
Phishing e outros ataques baseados em mensagens continuam a ser uma ameaça generalizada , com 97% das empresas vendo pelo menos um ataque de phishing por e-mail nos últimos 12 meses e três quartos das empresas esperando custos significativos de um ataque baseado em e-mail.
Os ataques de phishing estão ficando mais inteligentes e direcionados, adaptando-se a novas tecnologias e comportamento do usuário, evoluindo para incluir explorações móveis, personificação de marca e conteúdo gerado por IA.
A pesquisa observa que é crucial manter o software atualizado para mitigar riscos, fornecer treinamento regular e usar ferramentas de segurança avançadas para defesas contra a ameaça crescente de ataques de phishing.
O treinamento de simulação de phishing para funcionários parece funcionar melhor em organizações de infraestrutura crítica do que em outros setores, com 66% desses funcionários relatando corretamente pelo menos um ataque de e-mail malicioso real em um ano de treinamento, descobriu uma nova pesquisa.
FONTE: DARKREADING