🚨 NOVA NOTÍCIA EM DESTAQUE! 🚨
Confira agora e compartilhe com seus amigos!
Apoie esse projeto de divulgacao de noticias! Clique aqui
O grupo de hackers patrocinado pelo estado norte-coreano conhecido como ScarCruft (também conhecido como APT37) foi observado usando mensagens de spear-phishing representando notificações de segurança da conta da Microsoft para entregar malware chamado NarwhalRAT.
“O e-mail de ataque continha uma mensagem que se fazia passar por um alerta de segurança de conta MS”, disse o Genians Security Center (GSC). “Ele foi projetado para criar preocupação sobre um possível comprometimento da conta e abuso de OTP, induzindo assim o destinatário a executar o anexo.”
"O corpo do e-mail instruiu o destinatário a consultar o comunicado anexado. No entanto, o anexo real não era um documento HWP [Hangul Word Processor], mas um arquivo ZIP que continha um arquivo LNK malicioso."
A mensagem de e-mail alega “atividade anormal” relacionada à geração repetida de senhas de uso único, fazendo-a passar por uma tentativa de phishing dirigida à conta da Microsoft do alvo por terceiros e instando-os a alterar sua senha. O objetivo final da mensagem de phishing é induzir uma falsa sensação de urgência e enganar a vítima, fazendo-a interpretar o e-mail como um alerta de segurança legítimo.
O arquivo LNK, uma vez iniciado, inicia uma cadeia de infecção de vários estágios que emprega scripts em lote intermediários para baixar e instalar o NarwhalRAT, juntamente com a recuperação do executável Python legítimo do site oficial e de um arquivo de catálogo de segurança do Windows (CAT). A persistência é obtida por meio de uma tarefa agendada, que é configurada para lançar o arquivo CAT responsável por buscar e executar o payload principal na memória sem deixar nenhum artefato no disco.
O malware baseado em Python está equipado para registrar pressionamentos de teclas, capturar capturas de tela (com suporte para imagens de alta resolução), gravar áudio ambiente, fazer upload de conteúdo de diretório, coletar detalhes de janelas ativas, coletar dados de mídia USB, executar instruções emitidas por um servidor de comando e controle (C2) e alternar servidores C2.
O apelido NarwhalRAT é uma referência ao uso de "%APPDATA%\naverwhale" pelo malware para preparar as informações coletadas no host comprometido. O nome do diretório oculto é uma tentativa de evitar a detecção, disfarçando-se como Naver Whale, um navegador desenvolvido pela empresa de tecnologia sul-coreana Naver Corporation.
A implantação do NarwhalRAT pelo APT37 é digna de nota, pois marca um afastamento do RokRAT, uma família de malware atribuída exclusivamente ao grupo de hackers.
“Do ponto de vista da infraestrutura C2, o malware usa sites coreanos, incluindo ‘daehoat[.]com’ e ‘novel21[.]co.kr’, como retransmissores de comunicação primários, ao mesmo tempo que implementa funcionalidade de comunicação baseada na API de armazenamento em nuvem pCloud”, disse a empresa sul-coreana de segurança cibernética.
“Em particular, rotinas específicas do pCloud que processam os parâmetros ‘folderid’ e ‘auth’ foram identificadas no código. Isso indica que o malware foi projetado para usar um serviço de nuvem legítimo como um canal C2 secundário na forma de um resolvedor de queda morta.”
Genians disse que a atividade compartilha “múltiplas semelhanças” com ataques anteriores baseados em Python orquestrados por ScarCruft, incluindo uma campanha de spear-phishing que usou confirmação de ingressos e iscas de convites de eventos para enganar alvos em potencial para que abrissem arquivos ZIP contendo arquivos LNK.
A cadeia de ataque ocorre de maneira semelhante, pois o arquivo LNK atua como um canal para um script em lote ofuscado baixado de um servidor C2 remoto, que então baixa o binário Python e um arquivo CAT, resultando em última análise na implantação de um script Python compilado capaz de execução remota de comandos e envio dos resultados de volta ao servidor C2.
Curiosamente, os nomes das tarefas agendadas usadas para configurar a persistência seguem uma convenção de nomenclatura semelhante. Embora a infecção do NarwhalRAT crie uma tarefa agendada chamada “MicrosoftUserInterfacePicturesUpdateTackMachine”, a segunda cadeia usa o nome “MicrosoftMusicLibrariesPackageTaskMachine”.
“No geral, o NarwhalRAT é avaliado como um malware RAT avançado que integra um carregador de vários estágios baseado em Python, uma estrutura de execução na memória, uma estrutura operacional multi-C2 e funções de coleta seletiva de informações”, disse Genians.
“O e-mail de ataque continha uma mensagem que se fazia passar por um alerta de segurança de conta MS”, disse o Genians Security Center (GSC). “Ele foi projetado para criar preocupação sobre um possível comprometimento da conta e abuso de OTP, induzindo assim o destinatário a executar o anexo.”
"O corpo do e-mail instruiu o destinatário a consultar o comunicado anexado. No entanto, o anexo real não era um documento HWP [Hangul Word Processor], mas um arquivo ZIP que continha um arquivo LNK malicioso."
A mensagem de e-mail alega “atividade anormal” relacionada à geração repetida de senhas de uso único, fazendo-a passar por uma tentativa de phishing dirigida à conta da Microsoft do alvo por terceiros e instando-os a alterar sua senha. O objetivo final da mensagem de phishing é induzir uma falsa sensação de urgência e enganar a vítima, fazendo-a interpretar o e-mail como um alerta de segurança legítimo.
O arquivo LNK, uma vez iniciado, inicia uma cadeia de infecção de vários estágios que emprega scripts em lote intermediários para baixar e instalar o NarwhalRAT, juntamente com a recuperação do executável Python legítimo do site oficial e de um arquivo de catálogo de segurança do Windows (CAT). A persistência é obtida por meio de uma tarefa agendada, que é configurada para lançar o arquivo CAT responsável por buscar e executar o payload principal na memória sem deixar nenhum artefato no disco.
O malware baseado em Python está equipado para registrar pressionamentos de teclas, capturar capturas de tela (com suporte para imagens de alta resolução), gravar áudio ambiente, fazer upload de conteúdo de diretório, coletar detalhes de janelas ativas, coletar dados de mídia USB, executar instruções emitidas por um servidor de comando e controle (C2) e alternar servidores C2.
O apelido NarwhalRAT é uma referência ao uso de "%APPDATA%\naverwhale" pelo malware para preparar as informações coletadas no host comprometido. O nome do diretório oculto é uma tentativa de evitar a detecção, disfarçando-se como Naver Whale, um navegador desenvolvido pela empresa de tecnologia sul-coreana Naver Corporation.
A implantação do NarwhalRAT pelo APT37 é digna de nota, pois marca um afastamento do RokRAT, uma família de malware atribuída exclusivamente ao grupo de hackers.
“Do ponto de vista da infraestrutura C2, o malware usa sites coreanos, incluindo ‘daehoat[.]com’ e ‘novel21[.]co.kr’, como retransmissores de comunicação primários, ao mesmo tempo que implementa funcionalidade de comunicação baseada na API de armazenamento em nuvem pCloud”, disse a empresa sul-coreana de segurança cibernética.
“Em particular, rotinas específicas do pCloud que processam os parâmetros ‘folderid’ e ‘auth’ foram identificadas no código. Isso indica que o malware foi projetado para usar um serviço de nuvem legítimo como um canal C2 secundário na forma de um resolvedor de queda morta.”
Genians disse que a atividade compartilha “múltiplas semelhanças” com ataques anteriores baseados em Python orquestrados por ScarCruft, incluindo uma campanha de spear-phishing que usou confirmação de ingressos e iscas de convites de eventos para enganar alvos em potencial para que abrissem arquivos ZIP contendo arquivos LNK.
A cadeia de ataque ocorre de maneira semelhante, pois o arquivo LNK atua como um canal para um script em lote ofuscado baixado de um servidor C2 remoto, que então baixa o binário Python e um arquivo CAT, resultando em última análise na implantação de um script Python compilado capaz de execução remota de comandos e envio dos resultados de volta ao servidor C2.
Curiosamente, os nomes das tarefas agendadas usadas para configurar a persistência seguem uma convenção de nomenclatura semelhante. Embora a infecção do NarwhalRAT crie uma tarefa agendada chamada “MicrosoftUserInterfacePicturesUpdateTackMachine”, a segunda cadeia usa o nome “MicrosoftMusicLibrariesPackageTaskMachine”.
“No geral, o NarwhalRAT é avaliado como um malware RAT avançado que integra um carregador de vários estágios baseado em Python, uma estrutura de execução na memória, uma estrutura operacional multi-C2 e funções de coleta seletiva de informações”, disse Genians.
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #alertas #falsos #da #microsoft #usados #para #implantar #malware #narwhalrat #nortecoreano
💡 Compartilhe e ajude nosso projeto a crescer!
Postar um comentário