Pesquisadores de segurança cibernética divulgaram uma nova campanha que potencialmente tem como alvo usuários no Oriente Médio por meio de malware que se disfarça como a ferramenta de rede privada digital (VPN) GlobalProtect da Palo Alto Networks.
“O malware pode executar comandos remotos do PowerShell, baixar e extrair arquivos, criptografar comunicações e ignorar soluções de sandbox, representando uma ameaça significativa às organizações visadas”, disse o pesquisador da Development Micro, Mohamed Fahmy, em um relatório técnico.
A amostra sofisticada de malware foi observada empregando um processo de dois estágios e envolve a configuração de conexões com a infraestrutura de comando e controle (C2) que pretende ser um portal VPN da empresa, permitindo que os agentes da ameaça operem livremente sem disparar nenhum alarme.
O vetor de intrusão inicial para a campanha é atualmente desconhecido, embora se suspeite que envolva o uso de técnicas de phishing para enganar os usuários e fazê-los pensar que estão instalando o agente GlobalProtect. A atividade não foi atribuída a um ator ou grupo de ameaça específico.
O ponto de partida é um binário setup.exe que implanta o componente principal de backdoor chamado GlobalProtect.exe, que, quando instalado, inicia um processo de beacon que alerta os operadores sobre o progresso.
O executável de primeiro estágio também é responsável por soltar dois arquivos de configuração adicionais (RTime.conf e ApProcessId.conf) que são usados para exfiltrar informações do sistema para um servidor C2 (94.131.108(.)78), incluindo o endereço IP da vítima, informações do sistema operacional, nome de usuário, nome da máquina e sequência de tempo de suspensão.
“O malware implementa uma técnica de evasão para ignorar a análise de comportamento e as soluções de sandbox, verificando o caminho do arquivo do processo e o arquivo específico antes de executar o bloco de código principal”, observou Fahmy.
O backdoor serve como um canal para carregar arquivos, baixar payloads de próximo estágio e executar comandos do PowerShell. O beaconing para o servidor C2 ocorre por meio do projeto de código aberto Interactsh.
“O malware se direciona para uma URL recém-registrada, 'sharjahconnect' (provavelmente se referindo ao emirado dos Emirados Árabes Unidos, Sharjah), projetada para se assemelhar a um portal VPN legítimo para uma empresa sediada nos Emirados Árabes Unidos”, disse Fahmy.
“Essa tática foi criada para permitir que as atividades maliciosas do malware se misturem ao tráfego de rede regional esperado e melhorem suas características de evasão.”