🔥 Fique por dentro das novidades mais quentes do momento! 🔥
Leia, comente e fique sempre atualizado!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Foi observada uma "nova" campanha de engenharia social abusando do Obsidian, um aplicativo de anotações multiplataforma, como um vetor de acesso inicial para distribuir um trojan de acesso remoto do Windows, anteriormente não documentado, chamado PHANTOMPULSE, em ataques direcionados a indivíduos nos setores financeiro e de criptomoedas.
Chamada de REF6598 pelo Elastic Security Labs, descobriu-se que a atividade aproveita táticas elaboradas de engenharia social por meio do LinkedIn e do Telegram para violar sistemas Windows e macOS, abordando possíveis indivíduos sob o disfarce de uma empresa de capital de risco e depois transferindo a conversa para um grupo do Telegram onde vários supostos parceiros estão presentes.
O chat em grupo do Telegram foi projetado para dar um pouco de credibilidade à operação, com os membros discutindo tópicos relacionados a serviços financeiros e soluções de liquidez de criptomoedas. O alvo é então instruído a usar o Obsidian para acessar o que parece ser um painel compartilhado, conectando-se a um cofre hospedado na nuvem usando as credenciais fornecidas a ele.
É esse cofre que desencadeia a sequência de infecção. Assim que o cofre é aberto no aplicativo de anotações, o alvo é solicitado a ativar a sincronização de "Plugins da comunidade instalados", fazendo com que código malicioso seja executado.
"Os agentes da ameaça abusam do ecossistema legítimo de plug-ins da comunidade da Obsidian, especificamente os plug-ins Shell Commands e Hider, para executar código silenciosamente quando uma vítima abre um cofre na nuvem compartilhado", disseram os pesquisadores Salim Bitam, Samir Bousseaden e Daniel Stepanic em uma análise técnica da campanha.
Dado que a opção está desabilitada por padrão e não pode ser ativada remotamente, o invasor deve convencer o alvo a alternar manualmente a sincronização do plugin da comunidade em seu dispositivo para que a configuração do cofre malicioso possa acionar a execução de comandos por meio do plugin Shell Commands. Outro plug-in chamado Hider também é usado em conjunto com os comandos Shell para ocultar determinados elementos da interface do usuário do Obsidian, como barra de status, barra de rolagem, dicas de ferramentas e outros.
"Embora esse ataque exija que a engenharia social ultrapasse os limites de sincronização do plug-in da comunidade, a técnica permanece notável: ela abusa de um recurso legítimo do aplicativo como um canal de persistência e execução de comando, a carga reside inteiramente dentro de arquivos de configuração JSON que provavelmente não acionarão assinaturas AV [antivírus] tradicionais, e a execução é entregue por um aplicativo Electron assinado e confiável, tornando a detecção baseada no processo pai a camada crítica", disseram os pesquisadores.
Caminhos de execução dedicados são ativados dependendo do sistema operacional. No Windows, os comandos são usados para invocar um script do PowerShell para descartar um carregador intermediário de codinome PHANTOMPULL que descriptografa e inicia o PHANTOMPULSE na memória.
PHANTOMPULSE é um backdoor gerado por inteligência artificial (IA) que usa o blockchain Ethereum para resolver seu servidor de comando e controle (C2), buscando a transação mais recente associada a um endereço de carteira codificado. Ao obter o endereço C2, o malware usa WinHTTP para comunicação, permitindo enviar dados de telemetria do sistema, buscar comandos e transmitir os resultados da execução, fazer upload de arquivos ou capturas de tela e capturar pressionamentos de teclas.
Os comandos compatíveis foram projetados para facilitar o acesso remoto abrangente -
injetar, para injetar shellcode/DLL/EXE no processo de destino
drop, para soltar um arquivo no disco e executá-lo
captura de tela, para capturar e enviar uma captura de tela
keylog, para iniciar/parar um keylogger
desinstalar, para iniciar a remoção da persistência e realizar a limpeza
elevar, para escalar privilégios para SYSTEM por meio do moniker de elevação COM
downgrade, para fazer a transição de SYSTEM para administrador elevado
No macOS, o plug-in Shell Commands oferece um conta-gotas AppleScript ofuscado que itera em uma lista de domínios codificada, enquanto emprega o Telegram como um resolvedor de dead drop para resolução C2 substituta. Essa abordagem também oferece flexibilidade adicional, pois permite alternar facilmente a infraestrutura C2, tornando o bloqueio baseado em domínio insuficiente.
Na etapa final, o script dropper entra em contato com o domínio C2 para baixar e executar uma carga útil de segundo estágio via osascript. A natureza exata dessa carga permanece desconhecida, já que os servidores C2 estão off-line no momento. A intrusão acabou não tendo êxito, pois o ataque foi detectado e bloqueado antes que o adversário pudesse atingir seus objetivos na máquina infectada.
“REF6598 demonstra como os agentes de ameaças continuam a encontrar vetores criativos de acesso inicial, abusando de aplicativos confiáveis e empregando engenharia social direcionada”, disse Elastic. “Ao abusar do ecossistema de plug-ins da comunidade Obsidian em vez de explorar uma vulnerabilidade de software, os invasores contornam totalmente os controles de segurança tradicionais, confiando nos recursos do aplicativo.
Chamada de REF6598 pelo Elastic Security Labs, descobriu-se que a atividade aproveita táticas elaboradas de engenharia social por meio do LinkedIn e do Telegram para violar sistemas Windows e macOS, abordando possíveis indivíduos sob o disfarce de uma empresa de capital de risco e depois transferindo a conversa para um grupo do Telegram onde vários supostos parceiros estão presentes.
O chat em grupo do Telegram foi projetado para dar um pouco de credibilidade à operação, com os membros discutindo tópicos relacionados a serviços financeiros e soluções de liquidez de criptomoedas. O alvo é então instruído a usar o Obsidian para acessar o que parece ser um painel compartilhado, conectando-se a um cofre hospedado na nuvem usando as credenciais fornecidas a ele.
É esse cofre que desencadeia a sequência de infecção. Assim que o cofre é aberto no aplicativo de anotações, o alvo é solicitado a ativar a sincronização de "Plugins da comunidade instalados", fazendo com que código malicioso seja executado.
"Os agentes da ameaça abusam do ecossistema legítimo de plug-ins da comunidade da Obsidian, especificamente os plug-ins Shell Commands e Hider, para executar código silenciosamente quando uma vítima abre um cofre na nuvem compartilhado", disseram os pesquisadores Salim Bitam, Samir Bousseaden e Daniel Stepanic em uma análise técnica da campanha.
Dado que a opção está desabilitada por padrão e não pode ser ativada remotamente, o invasor deve convencer o alvo a alternar manualmente a sincronização do plugin da comunidade em seu dispositivo para que a configuração do cofre malicioso possa acionar a execução de comandos por meio do plugin Shell Commands. Outro plug-in chamado Hider também é usado em conjunto com os comandos Shell para ocultar determinados elementos da interface do usuário do Obsidian, como barra de status, barra de rolagem, dicas de ferramentas e outros.
"Embora esse ataque exija que a engenharia social ultrapasse os limites de sincronização do plug-in da comunidade, a técnica permanece notável: ela abusa de um recurso legítimo do aplicativo como um canal de persistência e execução de comando, a carga reside inteiramente dentro de arquivos de configuração JSON que provavelmente não acionarão assinaturas AV [antivírus] tradicionais, e a execução é entregue por um aplicativo Electron assinado e confiável, tornando a detecção baseada no processo pai a camada crítica", disseram os pesquisadores.
Caminhos de execução dedicados são ativados dependendo do sistema operacional. No Windows, os comandos são usados para invocar um script do PowerShell para descartar um carregador intermediário de codinome PHANTOMPULL que descriptografa e inicia o PHANTOMPULSE na memória.
PHANTOMPULSE é um backdoor gerado por inteligência artificial (IA) que usa o blockchain Ethereum para resolver seu servidor de comando e controle (C2), buscando a transação mais recente associada a um endereço de carteira codificado. Ao obter o endereço C2, o malware usa WinHTTP para comunicação, permitindo enviar dados de telemetria do sistema, buscar comandos e transmitir os resultados da execução, fazer upload de arquivos ou capturas de tela e capturar pressionamentos de teclas.
Os comandos compatíveis foram projetados para facilitar o acesso remoto abrangente -
injetar, para injetar shellcode/DLL/EXE no processo de destino
drop, para soltar um arquivo no disco e executá-lo
captura de tela, para capturar e enviar uma captura de tela
keylog, para iniciar/parar um keylogger
desinstalar, para iniciar a remoção da persistência e realizar a limpeza
elevar, para escalar privilégios para SYSTEM por meio do moniker de elevação COM
downgrade, para fazer a transição de SYSTEM para administrador elevado
No macOS, o plug-in Shell Commands oferece um conta-gotas AppleScript ofuscado que itera em uma lista de domínios codificada, enquanto emprega o Telegram como um resolvedor de dead drop para resolução C2 substituta. Essa abordagem também oferece flexibilidade adicional, pois permite alternar facilmente a infraestrutura C2, tornando o bloqueio baseado em domínio insuficiente.
Na etapa final, o script dropper entra em contato com o domínio C2 para baixar e executar uma carga útil de segundo estágio via osascript. A natureza exata dessa carga permanece desconhecida, já que os servidores C2 estão off-line no momento. A intrusão acabou não tendo êxito, pois o ataque foi detectado e bloqueado antes que o adversário pudesse atingir seus objetivos na máquina infectada.
“REF6598 demonstra como os agentes de ameaças continuam a encontrar vetores criativos de acesso inicial, abusando de aplicativos confiáveis e empregando engenharia social direcionada”, disse Elastic. “Ao abusar do ecossistema de plug-ins da comunidade Obsidian em vez de explorar uma vulnerabilidade de software, os invasores contornam totalmente os controles de segurança tradicionais, confiando nos recursos do aplicativo.
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #obsidian #plugin #abuse #oferece #phantompulse #rat #em #finanças #direcionadas #e #ataques #criptográficos
⚡ Fique ligado: novidades e promoções em breve por aqui! ⚡
Postar um comentário