Um ator de ameaça anteriormente indocumentado apelidado O parafuso foi observado comprometimento de websites com scripts maliciosos para fornecer um trojan modular de codinome BMANAGER.
“O ator ameaçador por trás desta campanha tem realizado ataques oportunistas de injeção de SQL contra websites em vários países desde pelo menos 2022”, disseram os pesquisadores do Grupo-IB Rustam Mirkasymov e Martijn van den Berk em um relatório publicado na semana passada.
“Nos últimos três anos, os agentes da ameaça infectaram websites vulneráveis com scripts JavaScript maliciosos, capazes de interceptar quaisquer dados inseridos em um website infectado”.
Boolka recebe o nome do código JavaScript inserido no website que direciona para um servidor de comando e controle chamado “boolka(.)tk” toda vez que um visitante desavisado chega ao website infectado.
O JavaScript também foi projetado para coletar e exfiltrar entradas e interações do usuário em um formato codificado em Base64, indicando o uso do malware para obter detalhes confidenciais, como credenciais e outras informações pessoais.
Além disso, ele redireciona os usuários para uma página de carregamento falsa que solicita às vítimas que baixem e instalem uma extensão do navegador quando, na realidade, ele descarta um downloader para o trojan BMANAGER, que, por sua vez, tenta buscar o malware a partir de um URL codificado. . A estrutura de entrega de malware é baseada na estrutura BeEF.
O trojan, por sua vez, serve como um canal para implantar quatro módulos adicionais, incluindo BMBACKUP (coletar arquivos de caminhos específicos), BMHOOK (registrar quais aplicativos estão em execução e têm foco no teclado), BMLOG (registrar pressionamentos de teclas) e BMREADER (exportar dados roubados). Ele também configura a persistência no host usando tarefas agendadas.
“A maioria das amostras utiliza um banco de dados SQL native”, observaram os pesquisadores. “O caminho e o nome deste banco de dados são codificados nas amostras para serem localizados em: C:Customers{consumer}AppDataLocalTempcoollog.db, com consumer sendo o nome de usuário do usuário conectado. “
Boolka é o terceiro ator, depois de GambleForce e ResumeLooters, a aproveitar ataques de injeção de SQL para roubar dados confidenciais nos últimos meses.
“Começando com ataques oportunistas de injeção de SQL em 2022 até o desenvolvimento de sua própria plataforma de entrega de malware e trojans como BMANAGER, as operações de Boolka demonstram que as táticas do grupo se tornaram mais sofisticadas ao longo do tempo”, concluíram os pesquisadores.
“A injeção de trechos maliciosos de JavaScript em websites vulneráveis para exfiltração de dados e, em seguida, o uso da estrutura BeEF para entrega de malware reflete o desenvolvimento passo a passo das competências do invasor.”
