Um grupo de ameaças com motivação financeira denominado UNC4990, que usa dispositivos USB para infecção inicial, foi rastreado pela empresa de segurança cibernética Mandiant explorando plataformas online legítimas, incluindo GitHub, Vimeo e Ars Technica, como objetivo de hospedar cargas codificadas incorporadas a conteúdo aparentemente benigno. O UNC4990 é rastreado pela Mandiant desde 2020, visando predominantemente usuários na Itália.
Os hackers escondem essas cargas colocando-as em perfis de usuários de fóruns em sites de notícias sobre tecnologia ou em descrições de vídeos em plataformas de hospedagem de mídia. Essas cargas não representam riscos para os usuários que visitam essas páginas da web, pois são simplesmente sequências de texto. No entanto, quando integradas à cadeia de ataque do grupo, são capazes de baixar e executar malware.
O ataque começa com as vítimas clicando duas vezes em um arquivo de atalho LNK malicioso em uma unidade USB. Não se sabe como os dispositivos USB maliciosos chegam às vítimas para iniciar a cadeia de ataque. Quando o atalho é iniciado, ele executa um script do PowerShell explorer.ps1 que, por sua vez, baixa uma carga intermediária que decodifica para um URL usado para baixar e instalar o downloader de malware chamado EMPTYSPACE. Essas cargas intermediárias são strings de texto que são decodificadas em uma URL para baixar a próxima carga, o EMPTYSPACE.
Nas fases subsequentes do ataque, o EMPTYSPACE baixa uma backdoor chamada QUIETBOARD, bem como mineradores de criptomoedas que exploram Monero, Ethereum, Dogecoin e Bitcoin. Os endereços de carteira vinculados a esta campanha obtiveram um lucro que ultrapassa US$ 55 mil, sem contabilizar o Monero, que está oculto. A QUIETBOARD é uma backdoor sofisticada e multicomponente usada pelo UNC4990 por oferecer uma ampla gama de recursos.
O UNC4990 tentou várias abordagens para hospedar cargas intermediárias, inicialmente usando arquivos de texto codificados no GitHub e GitLab e depois mudando para explorar o Vimeo e o Ars Technica para hospedar cargas úteis de string codificadas em Base64 e criptografadas em AES.
A Mandiant observa que os invasores não exploram uma vulnerabilidade nesses sites, mas simplesmente empregam recursos regulares do site, como uma página em um perfil de fórum da Ars Technica ou uma descrição de vídeo do Vimeo, para hospedar secretamente a carga ofuscada sem levantar suspeitas.
A estratégia de hospedar as cargas em plataformas legítimas é que elas contam com a confiança dos sistemas de segurança, reduzindo a probabilidade de serem sinalizadas como suspeitas. Além disso, os operadores da ameaça se beneficiam das robustas redes de distribuição de conteúdos dessas plataformas e gozam de resiliência a remoções.
Segundo a Mandiant, apesar das medidas de prevenção aparentemente simples, o malware baseado em USB continua a representar uma ameaça significativa e a atender os cibercriminosos como um meio de propagação eficaz.
Para ter acesso ao relatório completo da Mandiant, em inglês, clique aqui.