🚨 NOVA NOTÍCIA EM DESTAQUE! 🚨
Confira agora e compartilhe com seus amigos!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Uma nova campanha aproveitou a tática de engenharia social ClickFix como forma de distribuir um carregador de malware anteriormente não documentado, conhecido como DeepLoad.
“Ele provavelmente usa ofuscação assistida por IA e injeção de processo para evitar a varredura estática, enquanto o roubo de credenciais começa imediatamente e captura senhas e sessões mesmo se o carregador primário estiver bloqueado”, disseram os pesquisadores da ReliaQuest Thassanai McCabe e Andrew Currie em um relatório compartilhado com The Hacker News.
O ponto de partida da cadeia de ataque é uma isca ClickFix que engana os usuários para que executem comandos do PowerShell, colando o comando na caixa de diálogo Executar do Windows sob o pretexto de resolver um problema inexistente. Este, por sua vez, usa “mshta.exe”, um utilitário legítimo do Windows para baixar e executar um carregador PowerShell ofuscado.
Descobriu-se que o carregador, por sua vez, oculta sua funcionalidade real entre atribuições de variáveis sem sentido, provavelmente em uma tentativa de enganar as ferramentas de segurança. Avalia-se que os atores da ameaça confiaram em uma ferramenta de inteligência artificial (IA) para desenvolver a camada de ofuscação.
O DeepLoad faz esforços deliberados para se misturar às atividades regulares do Windows e passar despercebido. Isso inclui ocultar a carga dentro de um executável chamado “LockAppHost.exe”, um processo legítimo do Windows que gerencia a tela de bloqueio.
Além disso, o malware encobre seus próprios rastros desativando o histórico de comandos do PowerShell e invocando diretamente as funções principais nativas do Windows, em vez de depender dos comandos integrados do PowerShell para iniciar processos e modificar a memória. Ao fazer isso, ele ignora ganchos de monitoramento comuns que controlam as atividades baseadas no PowerShell.
“Para evitar a detecção baseada em arquivo, o DeepLoad gera um componente secundário dinamicamente usando o recurso Add-Type integrado do PowerShell, que compila e executa código escrito em C#”, disse ReliaQuest. "Isso produz um arquivo temporário de Dynamic Link Library (DLL) colocado no diretório Temp do usuário."
Isso oferece uma maneira para o malware evitar as detecções baseadas em nomes de arquivos, já que a DLL é compilada toda vez que é executada e gravada com um nome de arquivo aleatório.
Outra notável tática de evasão de defesa adotada pelo DeepLoad é o uso de injeção de chamada de procedimento assíncrona (APC) para executar a carga principal dentro de um processo confiável do Windows sem uma carga decodificada gravada em disco após iniciar o processo de destino em um estado suspenso, gravando shellcode em sua memória e, em seguida, retomando a execução do processo.
DeepLoad foi projetado para facilitar o roubo de credenciais, extraindo senhas de navegador do host. Ele também descarta uma extensão de navegador maliciosa que intercepta credenciais conforme elas são inseridas nas páginas de login e persiste nas sessões do usuário, a menos que seja explicitamente removida.
Uma característica mais perigosa do malware é sua capacidade de detectar automaticamente quando dispositivos de mídia removíveis, como unidades USB, estão conectados e copiar os arquivos com malware usando nomes como "ChromeSetup.lnk", "Firefox Installer.lnk" e "AnyDesk.lnk" para acionar a infecção assim que for clicado duas vezes.
“O DeepLoad usou o Windows Management Instrumentation (WMI) para reinfectar um host ‘limpo’ três dias depois, sem ação do usuário e sem interação do invasor”, explicou ReliaQuest. "O WMI serviu a dois propósitos: quebrou as cadeias de processos pai-filho que a maioria das regras de detecção são criadas para capturar e criou uma assinatura de evento WMI que reexecutou silenciosamente o ataque mais tarde."
O objetivo, ao que parece, é implantar malware multifuncional que possa realizar ações maliciosas em toda a cadeia de destruição cibernética e evitar a detecção pelos controles de segurança, evitando gravar artefatos no disco, misturar-se aos processos do Windows e espalhar-se rapidamente para outras máquinas.
A divulgação ocorre no momento em que a G DATA detalha outro carregador de malware chamado Kiss Loader, que é distribuído por meio de arquivos de atalho de Internet (URL) do Windows anexados a e-mails de phishing, que então se conectam a um recurso WebDAV remoto hospedado em um domínio TryCloudflare para servir um atalho secundário que se disfarça como um documento PDF.
Uma vez executado, o atalho inicia um script WSH responsável por executar um componente JavaScript, que recupera e executa um script em lote que exibe um PDF chamariz, configura a persistência na pasta Startup e baixa o Kiss Loader baseado em Python. No estágio final, o carregador descriptografa e executa o Venom RAT, uma variante do AsyncRAT, usando injeção APC.
Atualmente não se sabe quão difundidos são os ataques que implantam o Kiss Loader e se ele está sendo oferecido sob um modelo de malware como serviço (MaaS). Dito isto, o autor da ameaça por trás do carregador afirma ser do Malawi.
“Ele provavelmente usa ofuscação assistida por IA e injeção de processo para evitar a varredura estática, enquanto o roubo de credenciais começa imediatamente e captura senhas e sessões mesmo se o carregador primário estiver bloqueado”, disseram os pesquisadores da ReliaQuest Thassanai McCabe e Andrew Currie em um relatório compartilhado com The Hacker News.
O ponto de partida da cadeia de ataque é uma isca ClickFix que engana os usuários para que executem comandos do PowerShell, colando o comando na caixa de diálogo Executar do Windows sob o pretexto de resolver um problema inexistente. Este, por sua vez, usa “mshta.exe”, um utilitário legítimo do Windows para baixar e executar um carregador PowerShell ofuscado.
Descobriu-se que o carregador, por sua vez, oculta sua funcionalidade real entre atribuições de variáveis sem sentido, provavelmente em uma tentativa de enganar as ferramentas de segurança. Avalia-se que os atores da ameaça confiaram em uma ferramenta de inteligência artificial (IA) para desenvolver a camada de ofuscação.
O DeepLoad faz esforços deliberados para se misturar às atividades regulares do Windows e passar despercebido. Isso inclui ocultar a carga dentro de um executável chamado “LockAppHost.exe”, um processo legítimo do Windows que gerencia a tela de bloqueio.
Além disso, o malware encobre seus próprios rastros desativando o histórico de comandos do PowerShell e invocando diretamente as funções principais nativas do Windows, em vez de depender dos comandos integrados do PowerShell para iniciar processos e modificar a memória. Ao fazer isso, ele ignora ganchos de monitoramento comuns que controlam as atividades baseadas no PowerShell.
“Para evitar a detecção baseada em arquivo, o DeepLoad gera um componente secundário dinamicamente usando o recurso Add-Type integrado do PowerShell, que compila e executa código escrito em C#”, disse ReliaQuest. "Isso produz um arquivo temporário de Dynamic Link Library (DLL) colocado no diretório Temp do usuário."
Isso oferece uma maneira para o malware evitar as detecções baseadas em nomes de arquivos, já que a DLL é compilada toda vez que é executada e gravada com um nome de arquivo aleatório.
Outra notável tática de evasão de defesa adotada pelo DeepLoad é o uso de injeção de chamada de procedimento assíncrona (APC) para executar a carga principal dentro de um processo confiável do Windows sem uma carga decodificada gravada em disco após iniciar o processo de destino em um estado suspenso, gravando shellcode em sua memória e, em seguida, retomando a execução do processo.
DeepLoad foi projetado para facilitar o roubo de credenciais, extraindo senhas de navegador do host. Ele também descarta uma extensão de navegador maliciosa que intercepta credenciais conforme elas são inseridas nas páginas de login e persiste nas sessões do usuário, a menos que seja explicitamente removida.
Uma característica mais perigosa do malware é sua capacidade de detectar automaticamente quando dispositivos de mídia removíveis, como unidades USB, estão conectados e copiar os arquivos com malware usando nomes como "ChromeSetup.lnk", "Firefox Installer.lnk" e "AnyDesk.lnk" para acionar a infecção assim que for clicado duas vezes.
“O DeepLoad usou o Windows Management Instrumentation (WMI) para reinfectar um host ‘limpo’ três dias depois, sem ação do usuário e sem interação do invasor”, explicou ReliaQuest. "O WMI serviu a dois propósitos: quebrou as cadeias de processos pai-filho que a maioria das regras de detecção são criadas para capturar e criou uma assinatura de evento WMI que reexecutou silenciosamente o ataque mais tarde."
O objetivo, ao que parece, é implantar malware multifuncional que possa realizar ações maliciosas em toda a cadeia de destruição cibernética e evitar a detecção pelos controles de segurança, evitando gravar artefatos no disco, misturar-se aos processos do Windows e espalhar-se rapidamente para outras máquinas.
A divulgação ocorre no momento em que a G DATA detalha outro carregador de malware chamado Kiss Loader, que é distribuído por meio de arquivos de atalho de Internet (URL) do Windows anexados a e-mails de phishing, que então se conectam a um recurso WebDAV remoto hospedado em um domínio TryCloudflare para servir um atalho secundário que se disfarça como um documento PDF.
Uma vez executado, o atalho inicia um script WSH responsável por executar um componente JavaScript, que recupera e executa um script em lote que exibe um PDF chamariz, configura a persistência na pasta Startup e baixa o Kiss Loader baseado em Python. No estágio final, o carregador descriptografa e executa o Venom RAT, uma variante do AsyncRAT, usando injeção APC.
Atualmente não se sabe quão difundidos são os ataques que implantam o Kiss Loader e se ele está sendo oferecido sob um modelo de malware como serviço (MaaS). Dito isto, o autor da ameaça por trás do carregador afirma ser do Malawi.
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #o #malware #deepload #usa #a #persistência #clickfix #e #wmi #para #roubar #credenciais #do #navegador
🚀 Mais conteúdos incríveis estão por vir, fique atento!
Postar um comentário