Um documento do PowerPoint no modo de apresentação realiza um ataque cibernético após o primeiro movimento do mouse. Um script do PowerShell ataca e executa o malware Graphite. Diz-se que o APT28, também conhecido como Fancy Bear, está por trás do ataque.
Os pesquisadores do Cluster25 coletaram e analisaram um documento malicioso que foi usado para implantar uma variante do malware Graphite claramente associado ao agente da ameaça conhecido como APT28 (também conhecido como Fancy Bear, TSAR Team). Este é um grupo APT atribuído à Direção-Geral de Inteligência da Rússia do Estado-Maior Russo por uma acusação do Departamento de Justiça dos EUA em julho de 2018. O documento isca é um arquivo PowerPoint que explora uma técnica especial de execução de código: é acionado quando o usuário inicia o modo de apresentação e move o mouse. A inicialização do arquivo executa um script do PowerShell que baixa e executa um conta-gotas do OneDrive. Depois disso, ele extrai e insere um novo arquivo PE (Portable Executable) em si mesmo, que foi analisado como uma variante de uma família de malware chamada Graphite, que usa a API do Microsoft Graph e o OneDrive para comunicação C&C.
Atrações de arquivo do PowerPoint com informações da OCDE
De acordo com os metadados do arquivo PowerPoint infectado, os invasores usaram um modelo que pode estar associado à Organização para Cooperação e Desenvolvimento Econômico (OCDE). Esta organização trabalha com governos, formuladores de políticas e cidadãos para estabelecer padrões internacionais baseados em evidências e encontrar soluções para uma série de desafios sociais, econômicos e ambientais. Este é um arquivo PowerPoint (PPT) contendo dois slides com o mesmo conteúdo, o primeiro em inglês e o segundo em francês. O documento traz instruções de como usar a opção de interpretação disponível no Zoom.
Técnica de execução pérfida através de hiperlinks
Este PowerPoint usa uma técnica de execução de código que é acionada usando hiperlinks em vez de "executar programa/macro". É acionado quando o usuário inicia o modo de apresentação e move o mouse. O código que está sendo executado é um script do PowerShell, executado a partir do utilitário SyncAppvPublishingServer, que baixa um arquivo do OneDrive com extensão JPEG (DSC0002.jpeg). Este, por sua vez, é um arquivo DLL que é posteriormente descriptografado e gravado no caminho local C:\ProgramData\lmapi2.dll.
O blog da Cluster25, a equipe DuskRise, fornece uma análise técnica detalhada do novo ataque por meio de um arquivo PowerPoint.
Mais em DuskRise.com