Os agentes de ameaças estão cada vez mais abusando de softwares empacotadores legítimos e disponíveis comercialmente, como o BoxedApp, para evitar a detecção e distribuir malware, como trojans de acesso remoto e ladrões de informações.
“A maioria das amostras maliciosas atribuídas tinham como alvo instituições financeiras e setores governamentais”, disse Jiri Vinopal, pesquisador de segurança da Test Level, em uma análise.
O quantity de amostras empacotadas com BoxedApp e enviadas à plataforma de verificação de malware VirusTotal, de propriedade do Google, testemunhou um aumento por volta de maio de 2023, acrescentou a empresa israelense de segurança cibernética, com os envios de artefatos originados principalmente da Turquia, EUA, Alemanha, França e Rússia.
Entre as famílias de malware distribuídas desta forma estão Agent Tesla, AsyncRAT, LockBit, LodaRAT, NanoCore, Neshta, NjRAT, Quasar RAT, Ramnit, RedLine, Remcos, RevengeRAT, XWorm e ZXShell.
Packers são arquivos autoextraíveis que costumam ser usados para agrupar software program e torná-los menores. Mas, ao longo dos anos, essas ferramentas foram reaproveitadas pelos agentes de ameaças para adicionar outra camada de ofuscação às suas cargas, na tentativa de resistir à análise.
O aumento no abuso de produtos BoxedApp, como BoxedApp Packer e BxILMerge, foi atribuído a uma série de benefícios que o tornam uma opção atraente para invasores que desejam implantar malware sem serem detectados por software program de segurança de endpoint.
O BoxedApp Packer pode ser usado para compactar PEs nativos e .NET, enquanto o BxILMerge – semelhante ao ILMerge – destina-se exclusivamente ao empacotamento de aplicativos .NET.
Dito isso, sabe-se que os aplicativos embalados pelo BoxedApp, incluindo os não maliciosos, sofrem de uma alta taxa de detecção de falsos positivos (FP) quando verificados por mecanismos antimalware.
“Agrupar as cargas maliciosas permitiu que os invasores reduzissem a detecção de ameaças conhecidas, reforçassem suas análises e usassem os recursos avançados do BoxedApp SDK (por exemplo, armazenamento digital) sem a necessidade de desenvolvê-los do zero”, disse Vinopal.
“O próprio BoxedApp SDK abre um espaço para criar um empacotador personalizado e exclusivo que aproveita os recursos mais avançados e é diversificado o suficiente para evitar a detecção estática.”
Famílias de malware como Agent Tesla, FormBook, LokiBot, Remcos, XLoader também foram propagadas usando um empacotador ilícito de codinome NSIXloader que utiliza o Nullsoft Scriptable Set up System (NSIS). O fato de ser usado para entregar um conjunto variado de cargas implica que seja mercantilizado e monetizado na darkish net.
“A vantagem para os cibercriminosos em usar o NSIS é que ele lhes permite criar amostras que, à primeira vista, são indistinguíveis de instaladores legítimos”, disse o pesquisador de segurança Alexey Bukhteyev.
“Como o NSIS realiza a compactação por conta própria, os desenvolvedores de malware não precisam implementar algoritmos de compactação e descompactação. Os recursos de script do NSIS permitem a transferência de algumas funcionalidades maliciosas dentro do script, tornando a análise mais complexa.”
O desenvolvimento ocorre no momento em que a equipe QiAnXin XLab revela detalhes de outro empacotador de codinome Kiteshield que foi usado por vários atores de ameaças, incluindo Winnti e DarkMosquito, para atingir sistemas Linux.
“Kiteshield é um empacotador/protetor para binários ELF x86-64 no Linux”, disseram os pesquisadores do XLab. “O Kiteshield envolve binários ELF com múltiplas camadas de criptografia e injeta neles código de carregamento que descriptografa, mapeia e executa o binário compactado inteiramente no espaço do usuário.”
