Os operadores de ameaças por trás do ransomware CatB usam uma técnica chamada sequestro de ordem de pesquisa de DLL (dynamic-link library, ou biblioteca de vínculo dinâmico) para evitar a detecção e o descarte da carga útil.
O CatB, também conhecido como CatB99 e Baxtoy, surgiu no final do ano passado e é considerado uma evolução ou renomeação direta de outra variante de ransomware conhecida como Pandora. O uso de Pandora foi atribuído ao grupo hacker Bronze Starlight, chamado também de DEV-0401 ou Emperor Dragonfly. Esse grupo de ameaças chinês usa famílias de ransomware de curta duração para ocultar suas verdadeiras intenções.
O CatB depende desse tipo de sequestro por meio de um serviço legítimo chamado Microsoft Distributed Transaction Coordinator (MSDTC) para extrair e iniciar a carga útil do ransomware. “Após a execução, as cargas do CatB dependem do sequestro de ordem de pesquisa de DLL para descartar e carregar a carga maliciosa”, disse Jim Walter, pesquisador da SentinelOne, em um relatório publicado na semana passada. “O conta-gotas [versions.dll] coloca a carga útil [oci.dll] no diretório System32.”
O conta-gotas também é responsável por realizar verificações de antianálise para determinar se o malware está sendo executado em um ambiente virtual e, finalmente, explorar do serviço MSDTC para injetar o oci.dll malicioso que leva o ransomware ao executável msdtc.exe na reinicialização do sistema.
“As configurações [MSDTC] alteradas são o nome da conta sob a qual o serviço deve ser executado, que é alterado de serviço de rede para sistema local, e a opção de início do serviço, que é alterada de início por demanda para início automático para persistência se uma reinicialização ocorre”, explicou Natalie Zargarov, pesquisadora do Minerva Labs, em uma análise anterior ao The Hacker News.
Veja isso
Kaspersky explica reinstalação de malware mesmo após factory reset
Novo malware usa ICMP para capturar código de ataque
Um aspecto marcante do ransomware é a ausência de uma nota de resgate. Em vez disso, cada arquivo criptografado é atualizado com uma mensagem pedindo às vítimas que façam um pagamento em Bitcoin. Além disso, o malware coleta informações confidenciais de navegadores da web, como Google Chrome, Microsoft Edge — e Internet Explorer — e Mozilla Firefox, incluindo senhas, favoritos e histórico. Outra característica é a capacidade do malware de coletar dados confidenciais, como senhas, favoritos, histórico dos navegadores.
“O CatB se junta a uma longa linha de famílias de ransomware que adotam técnicas seminovas e comportamentos atípicos, como anexar notas ao cabeçalho dos arquivos”, disse Walter. “Esses comportamentos parecem ser implementados com o propósito de evasão de detecção e algum nível de truque antianálise.”
Esta não é a primeira vez que o serviço MSDTC foi usado para fins maliciosos. Em maio de 2021, a Trustwave divulgou um novo malware apelidado de Pingback que utilizou a mesma técnica para obter persistência e ignorar soluções de segurança.
