Geral 3min de Leitura - 03 de março de 2021

Trojan ObliqueRAT escondido em imagens de sites comprometidos

mulher-hacker-encapuzada-perigosa-invade-dados-pessoais-e-infecta-sistema-com-um-vírus-hacker-ataque-segurança-cibernética-hacking-e-roubo de identidade-fraude-esquema-conceito

This post is also available in: Português

O malware ObliqueRAT está disfarçando suas cargas como arquivos de imagem aparentemente inocentes ocultas em sites comprometidos.

O trojan de acesso remoto (RAT), que está em operação desde 2019, se espalha por e-mail, que contém documentos maliciosos do Microsoft Office anexados. Anteriormente, as cargas úteis eram incorporadas aos próprios documentos. Agora, se os usuários clicarem no anexo, eles serão redirecionados para URLs maliciosas, onde as cargas úteis estão ocultas com esteganografia – técnica que consiste em esconder um arquivo dentro do outro, de forma criptografada.

Os pesquisadores alertam que essa nova tática foi vista ajudando os operadores do ObliqueRAT a evitar a detecção durante o direcionamento do malware a várias organizações no sul da Ásia – onde o objetivo é enviar às vítimas um e-mail com documentos maliciosos do Microsoft Office, que, uma vez clicados, buscam as cargas úteis e, por fim, retirar vários dados da vítima.

Asheer Malhotra, pesquisador de segurança digital, disse:

“Esta nova campanha é um exemplo típico de como os adversários reagem a divulgações de ataques e desenvolvem suas cadeias de infecção para evitar detecções.

As modificações nas cargas úteis do ObliqueRAT também destacam o uso de técnicas de ofuscação que podem ser usadas para evitar os mecanismos de detecção tradicionais baseados em assinatura”.

O que é o ObliqueRAT?

Os operadores do ObliqueRAT sempre usaram e-mails com anexos maliciosos como vetor de infecção inicial. Geralmente, a cadeia de infecção usa um executável inicial, que atua como um conta-gotas para o próprio ObliqueRAT.

Depois de infectar os sistemas, o malware retira várias informações, incluindo dados do sistema, uma lista de unidades e uma lista de processos em execução.

A evolução do trojan

A recém-descoberta cadeia de ataque ObliqueRAT fazia parte de uma campanha que começou em maio de 2020 – mas que só foi descoberta recentemente por pesquisadores. Além do uso de redirecionamentos de URL, as próprias cargas úteis também receberam uma atualização, agora consistindo em arquivos de imagem de bitmap (BMP) aparentemente benignos.

Os arquivos de imagem contêm dados de imagem legítimos e bytes executáveis maliciosos ocultos nos dados da imagem, disseram os pesquisadores.

Sistema de ataque ObliqueRAT

A nova cadeia de ataque usada pelo ObliqueRAT. Crédito: Cisco Talos

Esta é uma tática bem conhecida usada por atores de ameaças, chamada de esteganografia. Os invasores ocultam malware em arquivos de imagem como forma de contornar a detecção. Isso ocorre porque muitos filtros e gateways permitem que os formatos de arquivo de imagem passem sem muita análise.

O e-mail inicial enviado às vítimas contém documentos maliciosos com novas macros, que redirecionam os usuários para URLs maliciosas contendo essas cargas úteis. Consequentemente, as macros maliciosas baixam os arquivos BMP e a carga ObliqueRAT é extraída para o disco.

Existem pequenas variações que foram vistas em ataques do mundo real. Uma instância de um documento malicioso que os pesquisadores descobriram “usa uma técnica semelhante, com diferença de que a carga hospedada no site comprometido é uma imagem BMP contendo arquivo .ZIP que contém carga ObliqueRAT”, disse Malhotra. “As macros maliciosas são responsáveis por extrair o .ZIP e, posteriormente, a carga útil ObliqueRAT no endpoint”.

Durante o curso de sua inversão, os pesquisadores também descobriram três cargas úteis usadas anteriormente, mas nunca antes vistas, para o ObliqueRAT, que mostraram como os autores do malware fizeram alterações ao longo do tempo. Por exemplo, uma das versões criadas em setembro adicionou novos recursos de enumeração e roubo de arquivos, bem como expandiu as funcionalidades da carga útil para incluir a capacidade de fazer capturas de tela e gravações da webcam e do desktop.

ObliqueRAT se esconde da detecção

Ataque do OliqueRAT

A evolução das cargas úteis do ObliqueRAT. Crédito: Cisco Talos

Os pesquisadores dizem que essa técnica de entrega de carga útil atualizada dá aos invasores uma vantagem na detecção de contornos.

Segundo eles:

“É altamente provável que essas mudanças sejam uma resposta a divulgações anteriores para evitar a evasão para essas novas campanhas. O uso de sites comprometidos é outra tentativa de evasão de detecção”.

As macros também adotaram uma nova tática para obter persistência de reinicialização para as cargas ObliqueRAT. Os pesquisadores disseram que isso é feito criando um atalho (extensão de arquivo .URL) no diretório de reinicialização do usuário infectado. Depois que o computador for reinicializado, as cargas ainda poderão ser executadas.

Fonte: ZDNet.

This post is also available in: Português