Geral 2min de Leitura - 08 de outubro de 2020

Crackers exploram o Relatório de Erros do Windows para invadir computadores

Captura de tela que exibe linguagem de programação.

This post is also available in: Português

Chamada de Kraken, a técnica usa esse serviço para atacar sem precisar de arquivos maliciosos.

A maioria das investidas de cibercriminosos utiliza arquivos infectados para invadir os sistemas alheios. Contudo, algumas técnicas diferenciadas conseguem atacar sem essa necessidade. É o caso de um método chamado de Kraken, detectado no mês passado – cujos autores ainda são desconhecidos.

Os pesquisadores do Malwarebytes, Hossein Jazi e Jérôme Segura, documentaram a nova técnica, que abusa do serviço Microsoft Windows Error Reporting (WER). “Ele injeta sua carga nessa funcionalidade do Windows como um mecanismo de evasão de defesa”, afirmam os pesquisadores.

“Esse serviço de relatórios, que tem o WerFault.exe como um dos componentes, geralmente é invocado quando ocorre um erro relacionado ao sistema operacional, em recursos do Windows ou aplicativos”.

Os criadores da ameaça empregaram técnicas de antianálise e evasão, incluindo ofuscação de código e execução de algumas verificações para ambientes de sandbox ou depurador.

Como funciona

Os desenvolvedores do Kraken lançaram um ataque de phishing que usou mensagens com um anexo tendo a extensão .ZIP. Intitulado “Compensation manual.doc,” o arquivo alega conter informações relacionadas a direitos de compensação do trabalhador. Contudo, ao abrir o documento, uma macro é acionada. Aí, o código malicioso usa uma versão personalizada do módulo CactusTorch VBA para realizar um ataque sem arquivo.

Ao contrário do CactusTorch VBA, que especifica o processo de destino para injetar a carga útil dentro da macro, o ator da ameaça por trás dessa campanha modificou a macro e especificou o processo de destino na carga útil .Net.

A carga útil carregada é uma DLL .net internamente denominada “Kraken.dll”. Essa DLL atua como um carregador que injeta um shellcode embutido no WerFault.exe. De acordo com os especialistas, o carregador tem duas classes principais chamadas “Kraken” e “Carregador“.

O último shellcode na cadeia de ataque é composto por um conjunto de instruções que fazem uma solicitação HTTP a um domínio codificado para baixar uma carga maliciosa e injetá-la em um processo.

Anonimato

No momento da análise, a URL de destino codificado do malware não estava acessível, tornando impossível atribuir a técnica Kraken a agentes em específico. No entanto, os pesquisadores do Malwarebytes encontraram alguns links com APT32, que é um grupo de ciberespionagem ligado ao Vietnã.

O grupo APT32 está ativo desde 2012, e tem como alvo empresas de vários setores, governos de todo o planeta, dissidentes e jornalistas.

Desde pelo menos 2014, os especialistas observam o APT32 visando corporações estrangeiras com interesse nos setores de manufatura, produtos de consumo e hotelaria do Vietnã. O APT32 também tinha como alvo empreendimentos de infraestrutura de tecnologia e segurança de rede periférica, e empresas de segurança que podem ter conexões com investidores de vários países.

Apesar de ainda não haver certeza sobre quem é o autor por trás dos ataques, a tendência é que seja um grupo altamente profissional e de grande abrangência – como é o APT32. Ou seja, de amador o Kraken não tem nada – e representa um perigo em potencial para os usuários do Windows, um dos sistemas operacionais mais utilizados no mundo.

This post is also available in: Português