Uma campanha de phishing em escala global teve como alvo empresas em todo o mundo de vários de setores com cepas de malware nunca antes vistas, fornecidas por meio de iscas especialmente adaptadas. Os ataques atingiram ao menos 50 empresas, em 2 de dezembro e entre 11 e 18 de dezembro do ano passado, de acordo com um relatório da Mandiant, divulgado nesta terça-feira, 4.
Enquanto os pesquisadores de ameaças da empresa de segurança cibernética rastreavam o grupo denominado UNC2447, que está por trás dessa campanha, foram implantadas três novas cepas do malware em computadores usando iscas de phishing personalizadas.
O malware usado pelo UNC2529 nesses ataques é fortemente ofuscado para impedir a análise e tenta evitar a detecção implantando carga útil na memória dos computadores sempre que possível. “O agente da ameaça fez uso extensivo de ocultação e malware sem arquivo para complicar a detecção e fornecer uma backdoor bem codificada e extensível”, disse a Mandiant.
Durante as duas ondas de ataques, o grupo de ameaças usou e-mails de phishing com links para um downloader baseado em JavaScript — apelidado de DoubleDrag — ou um documento Excel com uma macro incorporada que baixou um dropper baseado em PowerShell na memória (conhecido como DoubleDrop) de servidores de comando e controle (C&C). O dropper DoubleDrop agrupa instâncias de 32 e 64 bits de uma backdoor, denominada DoubleBack, implementada como uma biblioteca dinâmica PE.
A porta dos fundos é inserida no processo do PowerShell gerado pelo conta-gotas. Ainda assim, ela foi projetada para tentar posteriormente se infiltrar em um processo do Windows Installer (msiexec.exe) recém-criado se o mecanismo antivírus não estiver sendo executado no computador comprometido.
Veja isso
Cibercrime prefere usar Microsoft, DHL e Google em campanhas de phishing
Phishing financeiro está em queda, revela relatório da Kaspersky
No próximo estágio, a backdoor DoubleBack carrega seu plug-in e alcança o servidor C&C em um loop para buscar comandos a serem executados no dispositivo infectado. “Um fato interessante sobre todo o ecossistema é que apenas o downloader existe no sistema de arquivos”, acrescenta a Mandiant. “O resto dos componentes são serializados no banco de dados do registro, o que torna sua detecção um pouco mais difícil, especialmente por mecanismos antivírus baseados em arquivos.”
Sinais de spear phishing
O grupo UNC2529 usou uma infraestrutura considerável para realizar seus ataques, com cerca de 50 domínios sendo usados para entregar os e-mails de phishing. O grupo também investiu tempo para adaptar seus ataques às vítimas visadas, em tentativas evidentes de garantir que seus e-mails fossem vistos como mensagens legítimas de parceiros de negócios ou clientes.
Os hackers usaram essa tática para aumentar a chance de que suas mensagens fossem abertas e os alvos fossem infectados.
“Disfarçado de executivo de conta, sete e-mails de phishing foram observados visando o setor médico, eletrônicos de alta tecnologia, fabricantes de equipamentos automotivos e militares, além de um empreiteiro de defesa autorizado com assuntos muito específicos para os produtos da empresa de manufatura de eletrônicos”, diz a Mandiant.
A campanha de phishing do UNC2529 não se concentrou em um único setor vertical ou em uma única região durante as duas ondas de ataques. Embora a principal área alvo do grupo fosse os EUA, os ataques também visavam organizações da EMEA (Europa, Oriente Médio e África), Ásia e Austrália.
“Embora a Mandiant não tenha evidências sobre os objetivos desse operador de ameaças, sua ampla segmentação de setores e regiões geográficas é consistente com um cálculo de segmentação mais comumente visto entre grupos com motivação de roubo financeiro”, concluiu a empresa. “O DoubleBack parece ser um trabalho em andamento e a Mandiant antecipa outras ações do UNC2529 para comprometer as vítimas em todas as indústrias em todo o mundo.”