Novo ator de ameaças 'Void Arachne' tem como alvo usuários chineses com instaladores VPN maliciosos
Usuários que falam chinês são alvo de um cluster de atividades de ameaças nunca antes visto com codinome Aracne do Vazio que emprega arquivos maliciosos do Home windows Installer (MSI) para redes privadas virtuais (VPNs) para fornecer uma estrutura de comando e controle (C&C) chamada Winos 4.0.
“A campanha também promove arquivos MSI comprometidos incorporados com nudificadores e software program de geração de pornografia deepfake, bem como tecnologias faciais e de voz de IA”, disseram os pesquisadores da Development Micro Peter Girnus, Aliakbar Zahravi e Ahmed Mohamed Ibrahim em um relatório técnico publicado hoje.
“A campanha usa táticas de envenenamento (Search Engine Optimization) e mídias sociais e plataformas de mensagens para distribuir malware.”
O fornecedor de segurança, que descobriu o novo grupo de atores de ameaças no início de abril de 2024, disse que os ataques envolvem a publicidade de softwares populares como Google Chrome, LetsVPN, QuickVPN e um pacote de idiomas Telegram para o idioma chinês simplificado para distribuir Winos. Cadeias de ataque alternativas aproveitam instaladores backdoor propagados em canais do Telegram com tema chinês.
Os hyperlinks surgidos por meio de táticas de web optimization black hat apontam para uma infraestrutura dedicada configurada pelo adversário para preparar os instaladores na forma de arquivos ZIP. Para ataques direcionados aos canais do Telegram, os instaladores MSI e os arquivos ZIP são hospedados diretamente na plataforma de mensagens.
O uso de um pacote malicioso no idioma chinês é interessante até porque representa uma enorme superfície de ataque. Outros tipos de software program pretendem oferecer recursos para gerar vídeos pornográficos deepfake não consensuais para uso em golpes de sextorção, tecnologias de IA que poderiam ser usadas para sequestro digital e ferramentas de alteração de voz e troca de rosto.
Os instaladores são projetados para modificar regras de firewall para permitir o tráfego de entrada e saída associado ao malware quando conectado a redes públicas.
Ele também descarta um carregador que descriptografa e executa uma carga útil de segundo estágio na memória, que subsequentemente inicia um Visible Primary Script (VBS) para configurar a persistência no host e acionar a execução de um script em lote desconhecido e entregar a estrutura Winos 4.0 C&C por meio de um stager que estabelece comunicações C&C com um servidor remoto.
Um implante escrito em C++, o Winos 4.0 está equipado para realizar gerenciamento de arquivos, negação de serviço distribuída (DDoS) usando TCP/UDP/ICMP/HTTP, pesquisa de disco, controle de webcam, captura de tela, gravação de microfone, keylogging e acesso remoto ao shell. .
Ressaltando a complexidade do backdoor está um sistema baseado em plug-in que realiza os recursos mencionados acima por meio de um conjunto de 23 componentes dedicados compilados para variantes de 32 e 64 bits. Ele pode ser aumentado ainda mais por meio de plug-ins externos integrados pelos próprios agentes da ameaça, dependendo de suas necessidades.
O componente principal do WinOS também inclui métodos para detectar a presença de software program de segurança predominante na China, além de atuar como o principal orquestrador responsável por carregar os plug-ins, limpar logs do sistema e baixar e executar cargas adicionais de um URL fornecido.
“A conectividade à Web na República In style da China está sujeita a uma regulamentação rigorosa através de uma combinação de medidas legislativas e controlos tecnológicos conhecidos colectivamente como o Grande Firewall da China”, salientaram os investigadores.
“Devido ao rigoroso controle governamental, os serviços VPN e o interesse público nesta tecnologia aumentaram notavelmente. Isto, por sua vez, aumentou o interesse dos atores de ameaças em explorar o elevado interesse público em software program que pode escapar do Grande Firewall e da censura on-line.”
