Um ator de ameaço anteriormente indocumentado chamado VINHO ESPIADO foi observado visando funcionários em países europeus com missões diplomáticas indianas usando uma novidade porta dos fundos chamada CARREGADOR DE VINHO.
O contendor, de concórdia com um relatório do Zscaler ThreatLabz, usou um registro PDF em e-mails que supostamente vinham do Emissário da Índia, convidando funcionários diplomáticos para um evento de degustação de vinhos em 2 de fevereiro de 2024.
O documento PDF foi sobrecarregado no VirusTotal da Letônia em 30 de janeiro de 2024. Dito isto, há evidências que sugerem que esta campanha pode ter estado ativa pelo menos desde 6 de julho de 2023, passando pela invenção de outro registro PDF semelhante sobrecarregado do Mesmo país.
“O ataque é caracterizado por seu volume muito plebeu e pelas táticas, técnicas e procedimentos avançados (TTPs) empregados na infraestrutura de malware e comando e controle (C2)”, disseram os pesquisadores de segurança Sudeep Singh e Roy Tay.
No núcleo do novo ataque está o registro PDF que vem incorporado com um link malicioso que se disfarça uma vez que um questionário, instando os destinatários a preenchê-lo para participar. Clicar no link abre caminho para um aplicativo HTML (“wine.hta”) que contém código JavaScript ofuscado para restaurar um registro ZIP codificado contendo WINELOADER do mesmo domínio.
O malware vem com um módulo principal projetado para executar módulos do servidor C2, injetar-se em outra livraria de vínculo dinâmico (DLL) e atualizar o pausa de suspensão entre solicitações de beacon.
Um vista notável das incursões cibernéticas é o uso de sites comprometidos para C2 e hospedagem de cargas intermediárias. Suspeita-se que “o servidor C2 só responde a tipos específicos de solicitações em determinados momentos”, tornando os ataques mais evasivos.
“O ator da ameaço fez um esforço suplementar para permanecer indetectado, evitando a estudo judicial de memória e soluções automatizadas de varredura de URL”, disseram os pesquisadores.