📰 Informação fresquinha chegando para você!
Confira agora e compartilhe com seus amigos!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Pesquisadores de segurança cibernética divulgaram detalhes de uma campanha de malware em vários estágios que usa scripts em lote como um caminho para entregar várias cargas úteis de trojan de acesso remoto (RATs) criptografadas que correspondem a XWorm, AsyncRAT e Xeno RAT.
A cadeia de ataque furtivo recebeu o codinome VOID#GEIST pela Securonix Threat Research.
Em um alto nível, o script em lote ofuscado é usado para implantar um segundo script em lote, preparar um tempo de execução Python incorporado legítimo e descriptografar blobs de shellcode criptografados, que são executados diretamente na memória, injetando-os em instâncias separadas de "explorer.exe" usando uma técnica chamada injeção Early Bird Asynchronous Procedure Call (APC).
“As campanhas modernas de malware mudam cada vez mais de executáveis autônomos para estruturas de entrega complexas baseadas em scripts que imitam de perto a atividade legítima do usuário”, disseram os pesquisadores Akshay Gaikwad, Shikha Sangwan e Aaron Beardslee em um relatório técnico compartilhado com o The Hacker News.
“Em vez de implantar binários PE tradicionais, os invasores aproveitam pipelines modulares que incluem scripts em lote para orquestração, PowerShell para preparação furtiva, tempos de execução incorporados legítimos para portabilidade e shellcode bruto executado diretamente na memória para persistência e controle.”
Esse mecanismo de execução sem arquivo minimiza as oportunidades de detecção baseadas em disco, permitindo assim que os agentes da ameaça operem em sistemas comprometidos sem acionar alertas de segurança. Além disso, a abordagem oferece uma vantagem adicional na medida em que estas fases individuais parecem inofensivas isoladamente e assemelham-se à actividade administrativa regular.
O ponto de partida do ataque é um script em lote obtido de um domínio TryCloudflare e distribuído por meio de e-mails de phishing. Uma vez lançado, ele evita deliberadamente tomar medidas para aumentar os privilégios e aproveita os direitos de permissão do usuário conectado no momento para estabelecer uma posição inicial, ao mesmo tempo que se mistura a operações administrativas aparentemente inócuas.
O estágio inicial serve como plataforma de lançamento para exibir um PDF chamariz ao iniciar o Google Chrome em tela cheia. O documento financeiro ou fatura exibido serve como uma distração visual para ocultar o que está acontecendo nos bastidores. Isso inclui iniciar um comando do PowerShell para executar novamente o script em lote original, como usar o parâmetro -WindowStyle Hidden, para evitar a exibição de uma janela do console.
Para garantir a persistência durante as reinicializações do sistema, um script em lote auxiliar é colocado no diretório de inicialização do usuário do Windows para que seja executado automaticamente sempre que a vítima fizer login no sistema. A ausência de métodos de persistência mais intrusivos é intencional, pois reduz a pegada forense.
“Tecnicamente, este método de persistência opera inteiramente dentro do contexto de privilégio do usuário atual. Ele não modifica chaves de registro de todo o sistema, cria tarefas agendadas ou instala serviços”, disseram os pesquisadores. "Em vez disso, ele depende do comportamento padrão de inicialização no nível do usuário, que não requer elevação e gera atrito mínimo de segurança. Essa escolha de design reduz a probabilidade de acionar prompts de escalonamento de privilégios ou alertas de monitoramento de registro."
A próxima fase começa com o malware chegando a um domínio TryCloudflare para buscar cargas adicionais na forma de arquivos ZIP que contêm vários arquivos -
runn.py, um script de carregamento baseado em Python responsável por descriptografar e injetar módulos de carga útil de shellcode criptografados na memória
new.bin, uma carga útil de shellcode criptografada correspondente ao XWorm
xn.bin, uma carga útil de shellcode criptografada correspondente ao Xeno RAT
pul.bin, uma carga útil de shellcode criptografada correspondente a AsyncRAT
a.json, n.json e p.json, arquivos-chave contendo as chaves de descriptografia exigidas pelo carregador Python para descriptografar dinamicamente o shellcode em tempo de execução
Depois que os arquivos são extraídos, a sequência de ataque implanta um tempo de execução Python incorporado legítimo diretamente do python[.]org. Esta etapa oferece diversas vantagens. Para começar, elimina qualquer dependência do sistema. Como resultado, o malware pode continuar a operar mesmo que o endpoint infectado tenha o Python instalado.
“Do ponto de vista do invasor, os objetivos deste estágio são portabilidade, confiabilidade e furtividade”, disse Securonix. “Ao incorporar um interpretador legítimo no diretório de teste, o malware se transforma em um ambiente de execução totalmente independente, capaz de descriptografar e injetar módulos de carga útil sem depender de componentes externos do sistema”.
O principal objetivo do ataque é aproveitar o tempo de execução do Python para iniciar o “runn.py”, que então descriptografa e executa a carga útil do XWorm usando a injeção Early Bird APC. O malware também usa um binário legítimo da Microsoft, “AppInstallerPythonRedirector.exe”, para invocar o Python e iniciar o Xeno RAT. Na última etapa, o carregamento do Python
A cadeia de ataque furtivo recebeu o codinome VOID#GEIST pela Securonix Threat Research.
Em um alto nível, o script em lote ofuscado é usado para implantar um segundo script em lote, preparar um tempo de execução Python incorporado legítimo e descriptografar blobs de shellcode criptografados, que são executados diretamente na memória, injetando-os em instâncias separadas de "explorer.exe" usando uma técnica chamada injeção Early Bird Asynchronous Procedure Call (APC).
“As campanhas modernas de malware mudam cada vez mais de executáveis autônomos para estruturas de entrega complexas baseadas em scripts que imitam de perto a atividade legítima do usuário”, disseram os pesquisadores Akshay Gaikwad, Shikha Sangwan e Aaron Beardslee em um relatório técnico compartilhado com o The Hacker News.
“Em vez de implantar binários PE tradicionais, os invasores aproveitam pipelines modulares que incluem scripts em lote para orquestração, PowerShell para preparação furtiva, tempos de execução incorporados legítimos para portabilidade e shellcode bruto executado diretamente na memória para persistência e controle.”
Esse mecanismo de execução sem arquivo minimiza as oportunidades de detecção baseadas em disco, permitindo assim que os agentes da ameaça operem em sistemas comprometidos sem acionar alertas de segurança. Além disso, a abordagem oferece uma vantagem adicional na medida em que estas fases individuais parecem inofensivas isoladamente e assemelham-se à actividade administrativa regular.
O ponto de partida do ataque é um script em lote obtido de um domínio TryCloudflare e distribuído por meio de e-mails de phishing. Uma vez lançado, ele evita deliberadamente tomar medidas para aumentar os privilégios e aproveita os direitos de permissão do usuário conectado no momento para estabelecer uma posição inicial, ao mesmo tempo que se mistura a operações administrativas aparentemente inócuas.
O estágio inicial serve como plataforma de lançamento para exibir um PDF chamariz ao iniciar o Google Chrome em tela cheia. O documento financeiro ou fatura exibido serve como uma distração visual para ocultar o que está acontecendo nos bastidores. Isso inclui iniciar um comando do PowerShell para executar novamente o script em lote original, como usar o parâmetro -WindowStyle Hidden, para evitar a exibição de uma janela do console.
Para garantir a persistência durante as reinicializações do sistema, um script em lote auxiliar é colocado no diretório de inicialização do usuário do Windows para que seja executado automaticamente sempre que a vítima fizer login no sistema. A ausência de métodos de persistência mais intrusivos é intencional, pois reduz a pegada forense.
“Tecnicamente, este método de persistência opera inteiramente dentro do contexto de privilégio do usuário atual. Ele não modifica chaves de registro de todo o sistema, cria tarefas agendadas ou instala serviços”, disseram os pesquisadores. "Em vez disso, ele depende do comportamento padrão de inicialização no nível do usuário, que não requer elevação e gera atrito mínimo de segurança. Essa escolha de design reduz a probabilidade de acionar prompts de escalonamento de privilégios ou alertas de monitoramento de registro."
A próxima fase começa com o malware chegando a um domínio TryCloudflare para buscar cargas adicionais na forma de arquivos ZIP que contêm vários arquivos -
runn.py, um script de carregamento baseado em Python responsável por descriptografar e injetar módulos de carga útil de shellcode criptografados na memória
new.bin, uma carga útil de shellcode criptografada correspondente ao XWorm
xn.bin, uma carga útil de shellcode criptografada correspondente ao Xeno RAT
pul.bin, uma carga útil de shellcode criptografada correspondente a AsyncRAT
a.json, n.json e p.json, arquivos-chave contendo as chaves de descriptografia exigidas pelo carregador Python para descriptografar dinamicamente o shellcode em tempo de execução
Depois que os arquivos são extraídos, a sequência de ataque implanta um tempo de execução Python incorporado legítimo diretamente do python[.]org. Esta etapa oferece diversas vantagens. Para começar, elimina qualquer dependência do sistema. Como resultado, o malware pode continuar a operar mesmo que o endpoint infectado tenha o Python instalado.
“Do ponto de vista do invasor, os objetivos deste estágio são portabilidade, confiabilidade e furtividade”, disse Securonix. “Ao incorporar um interpretador legítimo no diretório de teste, o malware se transforma em um ambiente de execução totalmente independente, capaz de descriptografar e injetar módulos de carga útil sem depender de componentes externos do sistema”.
O principal objetivo do ataque é aproveitar o tempo de execução do Python para iniciar o “runn.py”, que então descriptografa e executa a carga útil do XWorm usando a injeção Early Bird APC. O malware também usa um binário legítimo da Microsoft, “AppInstallerPythonRedirector.exe”, para invocar o Python e iniciar o Xeno RAT. Na última etapa, o carregamento do Python
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #malware #void#geist #em #vários #estágios #entregando #xworm, #asyncrat #e #xeno #rat
🚀 Mais conteúdos incríveis estão por vir, fique atento!
Postar um comentário