Hackers usam carregamento lateral de DLL para evitar detecção

Da Redação
04/05/2023

Um grupo de hackers de ameaça persistente avançada (APT), conhecido como Dragon Breath, Golden Eye Dog ou APT-Q-27, está introduzindo uma nova tendência que é o uso de variações complexas da clássica técnica de carregamento lateral de DLL para evitar a detecção.

Essas variações de ataque começam com um vetor inicial que utiliza um aplicativo limpo, na maioria das vezes o Telegram, que carrega uma carga útil de segundo estágio, às vezes também limpa, que, por sua vez, introduz uma DLL (Dynamic-link library) de carregador de malware.

A atração para as vítimas são os aplicativos “trojanizados” Telegram, LetsVPN ou WhatsApp para Android, iOS ou Windows que foram supostamente localizados na China. Acredita-se que os aplicativos trojanizados sejam promovidos usando BlackSEO ou malvertizing.

De acordo com analistas da Sophos que acompanharam os ataques recentes do grupo, o escopo da campanha está focado em usuários do Windows que falam chinês na China, Japão, Taiwan, Cingapura, Hong Kong e Filipinas.

Veja isso
CPUs Intel vulneráveis a novo tipo de ataque de canal lateral 
A cada minuto, um sistema é atingido por ataque, diz relatório

O sideloading de DLL é uma técnica explorada por invasores desde 2010, aproveitando a maneira insegura como o Windows carrega arquivos DLL (Dynamic Link Library) exigidos por um aplicativo. O invasor coloca uma DLL maliciosa com o mesmo nome da DLL necessária e legítima no diretório de um aplicativo. Quando o usuário inicia o executável, o Windows prioriza a DLL maliciosa local sobre aquela nas pastas do sistema.

Em resumo, o sideload de DLL continua sendo um método de ataque eficaz para hackers e que a Microsoft e os desenvolvedores falharam em abordar por mais de uma década. No último ataque APT-Q-27, os analistas observaram variações de sideloading de DLL que são difíceis de rastrear; portanto, eles alcançam uma cadeia de infecção mais furtiva. Com agências de notícias internacionais.

Compartilhar: