Os especialistas da Kaspersky descobriram uma nova campanha de malware sem arquivo direcionada. É caracterizado por um uso inovador de logs de eventos do Windows para armazenar malware e uma variedade de técnicas usadas pelos invasores.
Conjuntos de pentesting comerciais e wrappers anti-detecção são usados, incluindo aqueles compilados com Go. Vários cavalos de Tróia de última geração também foram implantados como parte da campanha.
Novas formas de ataque de malware sem arquivo
Os especialistas da Kaspersky descobriram uma operação de malware direcionada usando uma técnica exclusiva: o malware sem arquivo está oculto nos logs de eventos do Windows. O sistema foi inicialmente infectado por meio do módulo Dropper de um arquivo baixado pela vítima. O invasor usou uma variedade de wrappers antidetecção para ofuscar ainda mais os cavalos de Tróia de último estágio. Para evitar mais detecção, alguns módulos foram assinados com um certificado digital.
Na última fase, os atacantes usaram dois tipos de Trojans. Estes foram usados para obter mais acesso ao sistema. Os comandos dos servidores de controle eram transmitidos de duas maneiras: via comunicação de rede HTTP e os chamados pipes. Algumas versões de trojan conseguiram usar um sistema de comando contendo dezenas de comandos do C2.
Shellcodes estão ocultos no sistema Windows
A campanha também incluiu ferramentas de pentesting comerciais, incluindo SilentBreak e CobaltStrike. Ele combinou técnicas conhecidas com programas de descriptografia personalizados e o primeiro uso observado de logs de eventos do Windows para ocultar shellcodes no sistema.
“Observamos uma nova técnica de malware direcionado que chamou nossa atenção. Para o ataque, o ator salvou e executou um shellcode criptografado dos logs de eventos do Windows”, disse Denis Legezo, pesquisador sênior de segurança da Kaspersky. “É uma abordagem que nunca vimos antes e mostra a importância de estar alerta para ameaças que, de outra forma, podem pegá-lo despreparado. Achamos que vale a pena adicionar a técnica Event Logs à seção Defense Evasion da MITRE Matrix na parte Hide Artefacts. O uso de diferentes suítes de pentesting comercial também não é comum.”
Mais em Kaspersky.com
Sobre Kaspersky A Kaspersky é uma empresa internacional de cibersegurança fundada em 1997. A profunda inteligência de ameaças e experiência em segurança da Kaspersky serve como base para soluções e serviços de segurança inovadores para proteger empresas, infraestrutura crítica, governos e consumidores em todo o mundo. O abrangente portfólio de segurança da empresa inclui proteção de endpoint líder e uma variedade de soluções e serviços de segurança especializados para se defender contra ameaças cibernéticas complexas e em evolução. Mais de 400 milhões de usuários e 250.000 clientes corporativos são protegidos pelas tecnologias da Kaspersky. Mais informações sobre Kaspersky em www.kaspersky.com/