Nova backdoor do PowerShell se disfarça de patch do Windows

A backdoor se espalha por meio de documentos do Word enviados por meio de um suposto aplicativo de emprego baseado no LinkedIn
Da Redação
20/10/2022

Pesquisadores de segurança cibernética da SafeBreach emitiram alerta sobre uma nova backdoor do PowerShell que se disfarça como parte do processo de atualização do Windows para evitar a detecção. A backdoor se espalha por meio de documentos do Word (“Apply Form.docm.”) enviados por meio de um suposto aplicativo de emprego baseado no LinkedIn. O documento malicioso foi postado na Jordânia em 25 de agosto.

Os especialistas acreditam que a backdoor é distribuída como parte de uma campanha de spear phishing conduzida por um operador de ameaças sofisticado.

Ao abrir o documento e habilitar a macro incorporada, um script do PowerShell é descartado na máquina da vítima. Ele também obtém persistência criando uma tarefa agendada como parte do processo de atualização do Windows e executando o script que está localizado em uma pasta de atualização falsa. Uma vez executado o script, ele iniciará um segundo script do PowerShell e, antes de efetivar a tarefa agendada, dois outros scripts (Script.ps1 e Temp.ps1) serão descartados no sistema.

“Antes de executar a tarefa agendada, ele criará dois scripts do PowerShell, chamados Script.ps1 e Temp.ps1. O conteúdo dos scripts do PowerShell é armazenado em caixas de texto dentro do documento do Word e será salvo no mesmo diretório de atualização falso de %AppData%\Local\Microsoft\Windows\Update”, diz a análise publicada pela SafeBreach.

Segundo a empresa, ambos os scripts são ofuscados e com uma taxa de detecção zero no VirusTotal. “O Script.ps1 se conecta aos servidores de comando e controle (C&C) e envia um ID da vítima para os operadores, depois aguarda um comando. O comando é criptografado usando AES-256 CBC. A análise da contagem de IDs revelou que os invasores comprometeram um total de 70 computadores.

Os pesquisadores do SafeBreach explicam que o script Temp.ps1 decodifica o comando na resposta, executa-o e, em seguida, carregando o resultado de forma criptografada por meio de uma solicitação POST para o servidor de comando e controle.

Veja isso
Backdoor SessionManager visa servidores Exchange no mundo
Backdoor vem atacando sistemas Linux e Solaris há mais de 5 anos

Os especialistas encontraram a seguinte porcentagem de cada tipo de comando esperando pelas vítimas:

  • 66%: comando de lista de processos de exfiltração
  • 23%: Comando vazio – Inativo (o comando começa com “:”)
  • 7%: Enumerações de usuários locais – whoami e whoami /all + lista de processos
  • 2%: Remover arquivos da pasta pública + contas de rede + nome do computador, configurações de IP
  • 1%: Listar arquivos em pastas especiais – arquivos de programas, downloads, desktop, documentos, appdata
  • 1%: script inteiro para enumerações de usuários A.D e enumerações de clientes RDP (consulte o Apêndice B)

A SafeBreach publicou indicadores de comprometimento (IoCs) para a backdoor do PowerShell.

Compartilhar:

Últimas Notícias