Cibercriminosos exploram iscas de software program livre para implantar Hijack Loader e Vidar Stealer
Os agentes de ameaças estão atraindo usuários desavisados com versões gratuitas ou piratas de software program comercial para fornecer um carregador de malware chamado Hijack Loader, que então implanta um ladrão de informações conhecido como Vidar Stealer.
“Os adversários conseguiram enganar os usuários para que baixassem arquivos protegidos por senha contendo cópias trojanizadas de um aplicativo Cisco Webex Conferences (ptService.exe)”, disse o pesquisador de segurança da Trellix, Ale Houspanossian, em uma análise de segunda-feira.
“Quando vítimas inocentes extraíram e executaram um arquivo binário 'Setup.exe', o aplicativo Cisco Webex Conferences carregou secretamente um carregador de malware furtivo, o que levou à execução de um módulo de roubo de informações.”
O ponto de partida é um arquivo RAR que contém um nome executável “Setup.exe”, mas na realidade é uma cópia do módulo ptService do Cisco Webex Conferences.
O que torna a campanha digna de nota é o uso de técnicas de carregamento lateral de DLL para iniciar furtivamente o Hijack Loader (também conhecido como DOILoader ou IDAT Loader), que então atua como um canal para descartar o Vidar Stealer por meio de um script AutoIt.
“O malware emprega uma técnica conhecida para contornar o Controle de Conta de Usuário (UAC) e explorar a interface CMSTPLUA COM para escalonamento de privilégios”, disse Houspanossian. “Depois que o escalonamento de privilégios foi bem-sucedido, o malware foi adicionado à lista de exclusão do Home windows Defender para evasão de defesa”.
A cadeia de ataque, além de usar o Vidar Stealer para desviar credenciais confidenciais de navegadores da internet, aproveita cargas adicionais para implantar um minerador de criptomoeda no host comprometido.
A divulgação segue um aumento nas campanhas ClearFake que incentivam os visitantes do website a executar manualmente um script PowerShell para resolver um suposto problema de visualização de páginas da internet, uma técnica divulgada anteriormente pela ReliaQuest no ultimate do mês passado.
O script do PowerShell serve então como uma plataforma de lançamento para o Hijack Loader, que finalmente entrega o malware Lumma Stealer. O ladrão também está equipado para baixar mais três cargas úteis, incluindo o Amadey Loader, um downloader que inicia o minerador XMRig, e um malware clipper para redirecionar transações criptográficas para carteiras controladas pelo invasor.
“Observou-se que Amadey baixou outras cargas úteis, por exemplo, um malware baseado em Go que se acredita ser JaskaGO”, disseram os pesquisadores da Proofpoint Tommy Madjar, Dusty Miller e Selena Larson.
A empresa de segurança corporativa disse que também detectou em meados de abril de 2024 outro cluster de atividades chamado ClickFix que empregava iscas de atualização de navegador defeituosas para visitantes de websites comprometidos, a fim de propagar o Vidar Stealer usando um mecanismo semelhante envolvendo cópia e execução de código PowerShell.
Outro ator de ameaça que adotou a mesma tática de engenharia social em suas campanhas de malspam é o TA571, que foi observado enviando e-mails com anexos HTML que, quando abertos, exibem uma mensagem de erro: “A extensão ‘Phrase On-line’ não está instalada em seu navegador .”
A mensagem também apresenta duas opções, “Como corrigir” e “Corrigir automaticamente”. Se a vítima selecionar a primeira opção, um comando do PowerShell codificado em Base64 será copiado para a área de transferência do computador seguido de instruções para iniciar um terminal do PowerShell e clicar com o botão direito na janela do console para colar o conteúdo da área de transferência e executar o código responsável por executar um instalador MSI ou um script Visible Fundamental (VBS).
Da mesma forma, os usuários que selecionam “Correção automática” veem arquivos hospedados no WebDAV chamados “repair.msi” ou “repair.vbs” no Home windows Explorer, aproveitando o manipulador de protocolo “search-ms:”.
Independentemente da opção escolhida, a execução do arquivo MSI culmina na instalação do Matanbuchus, enquanto a execução do arquivo VBS leva à implantação do DarkGate.
Outras variantes da campanha também resultaram na distribuição do NetSupport RAT, ressaltando as tentativas de modificar e atualizar as iscas e cadeias de ataque, apesar de exigirem interação significativa por parte do usuário para terem sucesso.
“O uso legítimo e as muitas maneiras de armazenar o código malicioso, e o fato de a vítima executar manualmente o código malicioso sem qualquer associação direta com um arquivo, dificultam a detecção desses tipos de ameaças”, disse Proofpoint.
“Como software program antivírus e EDRs terão problemas para inspecionar o conteúdo da área de transferência, a detecção e o bloqueio precisam ser implementados antes que o HTML/website malicioso seja apresentado à vítima.”
O desenvolvimento também ocorre no momento em que a eSentire divulgou uma campanha de malware que aproveita websites semelhantes que se fazem passar pelo Even(.)com para eliminar o malware de roubo de informações SolarMarker por meio de um documento de isca que pretende oferecer ideias de formação de equipes.
“SolarMarker utiliza técnicas de envenenamento de otimização de mecanismos de pesquisa (web optimization) para manipular os resultados dos mecanismos de pesquisa e aumentar a visibilidade de hyperlinks enganosos”, disse a empresa canadense de segurança cibernética.
“O uso de táticas de web optimization pelos invasores para direcionar os usuários a websites maliciosos ressalta a importância de ser cauteloso ao clicar nos resultados dos mecanismos de pesquisa, mesmo que pareçam legítimos”.
