[ 200,538 page views, 69,039 usuários - média últimos 90 dias ] - [ 5.780 assinantes na newsletter, taxa de abertura 27% ]

hacker-3480124_640.jpg

Grupo hacker chinês atualiza kit de malware para espionagem

Grupo Rancor desenvolveu nova linhagem de malware, chamada Dudell, como parte da estratégia de ataques contra órgãos governamentais, principalmente do Camboja e Cingapura

hacker-3480124_640.jpg

Um grupo de hackers vinculado à China desenvolveu nova linhagem de malware, chamada Dudell, como parte da estratégia de ataques contra órgãos governamentais do Camboja, realizados entre dezembro de 2018 e janeiro deste ano.

Sabe-se que o grupo, identificado pelo nome de Rancor pela Unidade 42 da Palo Alto Networks, realiza espionagem cibernética contra países do Sudeste da Ásia, incluindo, entre outros, o Camboja e Cingapura, desde pelo menos 2017.

Esta não é a primeira vez que o Rancor é flagrado usando malware personalizado desconhecido, pois a Unidade 42 também os ratreou usando as famílias DDKONG e PLAINTEE durante ataques realizados em 2017 e 2018.

Malware personalizado

“Entre o início de dezembro de 2018 e o fim de janeiro deste ano, o Rancor conduziu ao menos duas rodadas de ataques com a intenção de instalar o malware Derusbi ou KHRat nos sistemas das vítimas”, dizem pesquisadores de segurança da Unidade 42.

A amostra DUDELL apresenta um comportamento malicioso semelhante a outra amostra de malware conectada ao Rancor, encontrada pelos pesquisadores da Check Point enquanto observavam uma campanha contra várias entidades governamentais do Sudeste Asiático que duravam sete meses.

O programa de download de malware foi entregue na forma de um documento chamariz do Microsoft Excel, projetado para executar macros maliciosas no computador do alvo, com o objetivo de baixar e executar cargas de malware de segundo estágio. “A macro nesse documento é executada quando o usuário visualiza o documento e clica em “Habilitar conteúdo”, quando a macro localiza e executa os dados localizados no campo “Empresa” nas propriedades do documento”, acrescentam os pesquisadores.

Um VBScript ofuscado personalizado, chamado Chrome.vbs, também foi usado pelos hackers do grupo Rancor em ataques realizados em julho deste ano para infectar seus alvos com “vários artefatos persistentes encadeados” nos computadores comprometidos.

Cargas de malware de segundo estágio

Como carga útil de segundo estágio, o downloader descarta uma carga útil do DDKONG que exfiltra as informações da vítima codificadas em XOR, incluindo nome do host, endereço IP e código do idioma, além de várias outras informações do sistema operacional.

O malware DDKONG pode encerrar processos nos hosts comprometidos, listar o conteúdo da pasta, baixar e fazer upload de arquivos, executar comandos, realizar capturas de tela e até agir como um shell reverso para fornecer aos atacantes acesso remoto aos sistemas infectados. O DUDELL também foi observado ao fornecer cargas KHRAT que também vêm com recursos de shell reverso, bem como trojans Derusbi em backdoor que carregarão módulos adicionais para aumentar sua funcionalidade.