Especialistas descobrem novo malware evasivo do SquidLoader direcionado a organizações chinesas
Pesquisadores de segurança cibernética descobriram um novo carregador de malware evasivo chamado Squid Loader que se espalha por meio de campanhas de phishing direcionadas a organizações chinesas.
O AT&T LevelBlue Labs, que observou o malware pela primeira vez no closing de abril de 2024, disse que ele incorpora recursos projetados para impedir análises estáticas e dinâmicas e, em última análise, evitar a detecção.
As cadeias de ataque aproveitam e-mails de phishing que vêm com anexos disfarçados de documentos do Microsoft Phrase, mas, na realidade, são binários que abrem o caminho para a execução do malware, que é então usado para buscar cargas úteis de shellcode de segundo estágio de um servidor remoto, incluindo Cobalt Strike.
“Esses carregadores apresentam mecanismos pesados de evasão e isca que os ajudam a permanecer indetectados, ao mesmo tempo que dificultam a análise”, disse o pesquisador de segurança Fernando Dominguez. “O shellcode entregue também é carregado no mesmo processo do carregador, provavelmente para evitar a gravação da carga no disco e, portanto, correr o risco de ser detectado.”
Algumas das técnicas de evasão defensiva adotadas pelo SquidLoader abrangem o uso de segmentos de código criptografados, código inútil que permanece sem uso, ofuscação do Management Movement Graph (CFG), detecção de depurador e execução de syscalls diretos em vez de chamar APIs do Home windows NT.
O malware Loader se tornou uma mercadoria standard no submundo do crime para agentes de ameaças que buscam entregar e lançar cargas adicionais para hosts comprometidos, enquanto contornam as defesas antivírus e outras medidas de segurança.
No ano passado, o incidente Stroz Friedberg da Aon detalhou um carregador conhecido como Taurus Loader que foi observado distribuindo o ladrão de informações Taurus, bem como o AgentVX, um trojan com capacidade para executar mais malware e configurar persistência usando alterações no Registro do Home windows e coletar dados.
O desenvolvimento ocorre no momento em que uma nova análise aprofundada de um carregador de malware e backdoor conhecido como PikaBot destacou que ele continua a ser desenvolvido ativamente por seus desenvolvedores desde seu surgimento em fevereiro de 2023.
“O malware emprega técnicas avançadas de anti-análise para evitar a detecção e fortalecer a análise, incluindo verificações de sistema, syscalls indiretos, criptografia de próximo estágio e strings e resolução dinâmica de API”, disse Sekoia. “As atualizações recentes do malware aprimoraram ainda mais suas capacidades, tornando ainda mais desafiador detectá-lo e mitigá-lo”.
Ele também segue as descobertas da BitSight de que a infraestrutura relacionada a outro malware carregador chamado Latrodectus ficou offline na sequência de um esforço de aplicação da lei denominado Operação Endgame que viu mais de 100 servidores de botnet, incluindo aqueles associados a IcedID, SystemBC, PikaBot, SmokeLoader, Bumblebee e TrickBot, desmontado.
A empresa de segurança cibernética disse ter observado quase 5.000 vítimas distintas espalhadas por 10 campanhas diferentes, com a maioria das vítimas localizadas nos EUA, Reino Unido, Holanda, Polónia, França, Chéquia, Japão, Austrália, Alemanha e Canadá.
