Pesquisadores de segurança alertam que um novo grupo operador de ameaças tem como alvo mais de mil organizações desde outubro, com o objetivo de implantar malware para roubo de credenciais. A cadeia de ataque também envolve componentes de reconhecimento, incluindo um trojan bancário que faz capturas de tela das áreas de trabalho de computadores infectados.
Rastreado como TA866 por pesquisadores da empresa de segurança Proofpoint, o grupo usa ferramentas semelhantes às utilizadas em outras campanhas relatadas no passado sob nomes diferentes, desde 2019. Mesmo que esta última atividade pareça ter motivação financeira, alguns dos possivelmente relacionados ataques vistos no passado sugerem que a espionagem também era uma motivação na época.
A Proofpoint apelidou esta última campanha de Screentime devido ao fato de os invasores usarem utilitários de captura de tela escritos em diferentes linguagens de programação no início da cadeia de ataque para criação de perfis de vítimas.
“O Screenshotter tem o propósito de fazer uma captura da tela da vítima e enviá-la para o servidor de comando e controle (C&C)”, disseram os pesquisadores em um novo relatório. “O operador da ameaça provavelmente examina manualmente a imagem da captura de tela da vítima durante o horário normal de trabalho e coloca cargas adicionais para o loop WasabiSeed baixar. O Screenshotter faz mais capturas de tela se o hacker não estiver satisfeito com as capturas de tela anteriores.”
Os ataques começam com e-mails de phishing que usam técnicas de sequestro de tópicos e possuem diferentes iscas como “por favor, julgue minha apresentação comercial”. Eles tentam fazer com que os usuários baixem e abram arquivos do Publisher (.pub) com macros maliciosas ou arquivos JavaScript maliciosos. Os e-mails contêm links que direcionam os usuários para os arquivos depois que o tráfego é filtrado por uma série de redirecionamentos, anexos em PDF que incluem os links ou anexos .pub diretamente.
“A maioria das campanhas durante outubro e novembro de 2022 envolveu apenas um número limitado de e-mails e focou em um pequeno número de empresas”, disseram os pesquisadores. “As campanhas foram observadas em média uma a duas vezes por semana e as mensagens continham arquivos anexados do Editor. Em novembro e dezembro de 2022, na época em que o agente da ameaça passou a usar URLs, a escala da operação cresceu e os volumes de e-mail aumentaram drasticamente. Típico as campanhas consistiam em milhares ou mesmo dezenas de milhares de e-mails e eram observadas duas a quatro vezes por semana.”
Se executados, os arquivos maliciosos implantam um programa de malware chamado WasabiSeed que é fornecido como um instalador MSI e estabelece persistência criando um atalho de execução automática na pasta de inicialização do Windows. WasabiSeed é um script simples escrito em VBS cujo objetivo é baixar e executar cargas adicionais.
Uma dessas primeiras cargas úteis é a ferramenta Screenshotter. Desde o início da campanha, os invasores usaram várias variantes dessa ferramenta escrita em Python; AutoIT, uma linguagem de script para automação de tarefas no Windows; e JavaScript com uma cópia empacotada do IrfanView, uma ferramenta de edição de imagem para Windows. A variante JavaScript+IrfanView é a mais recente observada.
Veja isso
Novo malware usa ICMP para capturar código de ataque
Captura de teclado e vídeo sem invadir a máquina
Em alvos considerados interessantes, o WasabiSeed também implanta um pós-exploração chamado AHK Bot, escrito em AutoHotKey, outra linguagem de script usada para automatizar tarefas no Windows. O AHK Bot é composto por scripts AutoHotKey que permitem que os invasores executem diferentes tarefas. Um deles é chamado Domain Profiler e é usado para extrair o domínio ActiveDirectory ao qual a máquina está conectada e enviá-lo para o servidor de comando e controle.
Outro script chamado Stealer Loader baixa um arquivo DLL e o carrega na memória do computador. Este arquivo DLL é um malware de roubo de informações conhecido como Rhadamanthys Stealer que começou a ser anunciado para venda em fóruns de cibercrime em agosto do ano passado. Seus recursos incluem roubo de carteiras criptográficas, contas Steam, senhas de navegadores, clientes FTP, clientes de bate-papo (por exemplo, Telegram, Discord ), clientes de e-mail, configurações de VPN, cookies e qualquer outro arquivo que os invasores possam desejar.
Como a entrega da carga útil requer intervenção manual dos atacantes, os pesquisadores suspeitam que seu fuso horário seja UTC+2:00 ou +3:00 (Europa Oriental e Rússia). Alguns dos malwares também contêm comentários em russo. As campanhas atingiram mais de mil organizações, principalmente nos Estados Unidos e na Alemanha.