Pesquisadores de segurança cibernética lançaram luz sobre uma nova campanha de phishing que foi identificada como tendo como alvo pessoas no Paquistão usando um backdoor personalizado.
Apelidado FANTASMA#PICO pela Securonix, os atores de ameaças desconhecidos por trás da atividade aproveitaram documentos de phishing militares para ativar a sequência de infecção.
“Embora existam muitos métodos usados hoje para implantar malware, os agentes da ameaça usaram arquivos ZIP com um arquivo de carga protegido por senha contido neles”, disseram os pesquisadores Den Iuzvyk, Tim Peck e Oleg Kolesnikov em um relatório compartilhado com The Hacker Information .
A campanha é notável pela falta de sofisticação e pelo uso de cargas simples para obter acesso remoto às máquinas alvo.
As mensagens de e-mail vêm com um arquivo ZIP que pretende ser atas de reuniões relacionadas ao Fórum Técnico-Militar Internacional Exército 2024, um evento legítimo organizado pelo Ministério da Defesa da Federação Russa. Está programado para ser realizado em Moscou em meados de agosto de 2024.
Presente no arquivo ZIP está um arquivo Microsoft Compiled HTML Assist (CHM) e um executável oculto (“RuntimeIndexer.exe”), o primeiro dos quais, quando aberto, exibe as atas da reunião, bem como algumas imagens, mas é executado furtivamente o binário incluído assim que o usuário clica em qualquer lugar do documento.
O executável foi projetado para funcionar como um backdoor que estabelece conexões com um servidor remoto by way of TCP para recuperar comandos que são posteriormente executados no host comprometido.
Além de repassar as informações do sistema, ele executa os comandos by way of cmd.exe, coleta o resultado da operação e o exfiltra de volta para o servidor. Isso inclui a execução de comandos como systeminfo, tasklist, curl para extrair o endereço IP público usando ip-api(.)com e schtasks para configurar a persistência.
“Esse backdoor funciona essencialmente como um trojan de acesso remoto (RAT) baseado em linha de comando que fornece ao invasor acesso persistente, secreto e seguro ao sistema infectado”, disseram os pesquisadores.
“A capacidade de executar comandos remotamente e retransmitir os resultados de volta ao servidor C2 permite que o invasor controle o sistema infectado, roube informações confidenciais ou execute cargas adicionais de malware”.
