Um agente de ameaças ligado à Rússia foi associado a uma nova campanha que usou um carro à venda como isca de phishing para entregar um backdoor modular do Home windows chamado HeadLace.
“A campanha provavelmente teve como alvo diplomatas e começou em março de 2024”, disse a Unidade 42 da Palo Alto Networks em um relatório publicado hoje, atribuindo-a com nível médio a alto de confiança ao APT28, também conhecido como BlueDelta, Fancy Bear, Preventing Ursa, Forest Blizzard, FROZENLAKE, Iron Twilight, ITG05, Pawn Storm, Sednit, Sofacy e TA422.
Vale a pena notar que temas de phishing de carros à venda já foram usados anteriormente por um grupo estatal russo chamado APT29 desde julho de 2023, indicando que o APT28 está redirecionando táticas bem-sucedidas para suas próprias campanhas.
No início de maio, o agente da ameaça foi implicado em uma série de campanhas direcionadas a redes em toda a Europa com o malware HeadLace e páginas da net de coleta de credenciais.
Os ataques são caracterizados pelo uso de um serviço legítimo conhecido como webhook(.)website – uma marca registrada das operações cibernéticas do APT28 junto com o Mocky – para hospedar uma página HTML maliciosa, que primeiro verifica se a máquina alvo está executando o Home windows e, em caso afirmativo, oferece um arquivo ZIP para obtain (“IMG-387470302099.zip”).
Se o sistema não for baseado no Home windows, ele redireciona para uma imagem falsa hospedada no ImgBB, especificamente um SUV Audi Q7 Quattro.
Presentes no arquivo estão três arquivos: o executável legítimo da calculadora do Home windows que se disfarça como um arquivo de imagem (“IMG-387470302099.jpg.exe”), uma DLL (“WindowsCodecs.dll”) e um script em lote (“zqtxmo.bat”).
O binário da calculadora é usado para fazer o sideload da DLL maliciosa, um componente do backdoor HeadLace projetado para executar o script em lote, que, por sua vez, executa um comando codificado em Base64 para recuperar um arquivo de outro URL de website webhook(.).
Este arquivo é então salvo como “IMG387470302099.jpg” na pasta de downloads dos usuários e renomeado para “IMG387470302099.cmd” antes da execução, depois do qual é excluído para apagar rastros de qualquer atividade maliciosa.
“Embora a infraestrutura usada pelo Preventing Ursa varie para diferentes campanhas de ataque, o grupo frequentemente depende desses serviços disponíveis gratuitamente”, disse a Unit 42. “Além disso, as táticas desta campanha se encaixam com campanhas do Preventing Ursa documentadas anteriormente, e o backdoor HeadLace é exclusivo para este ator de ameaça.”
