Os especialistas do Bitdefender Labs descobriram uma nova família de malware. O ataque sofisticado e muito direcionado chamado DownEx ainda está visando agências governamentais na Ásia Central. As empresas que operam nessas regiões também podem se tornar vítimas.
O principal objetivo dos invasores é a espionagem e a exfiltração de informações. O código malicioso do ataque sem arquivo é em grande parte executado apenas na memória principal e, portanto, é difícil de detectar. Ao analisar o script Python e fazer engenharia reversa da comunicação com o servidor de comando e controle (C2C), os especialistas conseguiram identificar quatro funções principais do malware: permite que os hackers verifiquem especificamente os arquivos, exfiltrem-nos, excluam ou faça capturas de tela do conteúdo da tela dos sistemas afetados.
Espionagem: em busca de dados confidenciais
Os autores da campanha estão particularmente interessados em dados confidenciais, como aqueles com a extensão .pgp (Pretty Good Privacy) ou .pem (Privacy Enhanced Mail). Os hackers também procuram dados financeiros, como arquivos de log do QuickBooks (extensão .tlg).
O domínio e os endereços IP associados à campanha são novos. O código malicioso não mostra semelhanças com malwares conhecidos anteriormente. O Bitdefender Labs foi o primeiro a identificar a nova campanha de malware e a nomeou DownEx.
Ataques direcionados a empresas
Os hackers visam especificamente vítimas selecionadas. O vetor de ataque original não está claro, mas o spear phishing e a engenharia social provavelmente estão no início de cada ataque. Para exibir o payload, os cibercriminosos usam um ícone clássico e simples com um arquivo .docx que disfarça um arquivo executável como um payload malicioso. A segunda carga útil é um arquivo .hta (mas sem essa extensão de arquivo) com código VBScript malicioso incorporado que conecta o sistema comprometido ao servidor C2C. Um arquivo .hta (Aplicativo HTML) contém código VBScript, HTML, CSS ou JavaScript que é executado como um aplicativo independente em ambientes do sistema operacional Windows. A comunicação subseqüente entre o servidor e o sistema da vítima, que é difícil de detectar, é executada por meio do backdoor help.py baseado em Python.
Fundo russo? – Fundo do estado!
Indicadores e técnicas usadas podem apontar para um background russo dos atores. No entanto, nenhuma declaração definitiva pode ser feita sobre isso. Os metadados do documento usado com a identidade dada de um diplomata podem ser uma indicação.
Você tem um momento?
Reserve alguns minutos para nossa pesquisa de usuários de 2023 e ajude a melhorar o B2B-CYBER-SECURITY.de!Você só precisa responder a 10 perguntas e tem uma chance imediata de ganhar prêmios da Kaspersky, ESET e Bitdefender.
Aqui você vai direto para a pesquisa
Da mesma forma, o malware usa uma versão crackeada do Microsoft 2016, que é distribuída principalmente em países de língua russa ("SPecialisST RePack" ou "Russian RePack by SPecialiST"). O backdoor também é escrito em dois idiomas. Essa prática é conhecida pelo grupo APT28, com sede na Rússia, e seu backdoor Zebrocy. No entanto, essas indicações não são suficientes. O pano de fundo do estado para o ataque altamente direcionado é óbvio. Os metadados do documento do Word indicam um diplomata real como o suposto remetente.
Mais em Bitdefender.com
Sobre o Bitdefender A Bitdefender é líder global em soluções de segurança cibernética e software antivírus, protegendo mais de 500 milhões de sistemas em mais de 150 países. Desde a sua fundação em 2001, as inovações da empresa fornecem regularmente excelentes produtos de segurança e proteção inteligente para dispositivos, redes e serviços em nuvem para clientes particulares e empresas. Como fornecedor preferido, a tecnologia da Bitdefender é encontrada em 38 por cento das soluções de segurança implantadas no mundo e é confiável e reconhecida por profissionais da indústria, fabricantes e clientes. www.bitdefender.de