Uma nova campanha de ataque denominada CLOUD#REVERSER foi observada aproveitando serviços legítimos de armazenamento em nuvem, como Google Drive e Dropbox, para preparar cargas maliciosas.
“Os scripts VBScript e PowerShell no CLOUD#REVERSER envolvem inerentemente atividades semelhantes a comando e controle, usando Google Drive e Dropbox como plataformas de teste para gerenciar uploads e downloads de arquivos”, disseram os pesquisadores da Securonix Den Iuzvyk, Tim Peck e Oleg Kolesnikov. em um relatório compartilhado com The Hacker News.
“Os scripts são projetados para buscar arquivos que correspondam a padrões específicos, sugerindo que eles estão aguardando comandos ou scripts colocados no Google Drive ou Dropbox”.
O ponto de partida da cadeia de ataque é um e-mail de phishing contendo um arquivo ZIP, que contém um executável disfarçado de arquivo do Microsoft Excel.
Em uma reviravolta interessante, o nome do arquivo faz uso do caractere Unicode de substituição da direita para a esquerda (RLO) oculto (U + 202E) para reverter a ordem dos caracteres que vêm depois desse caractere na string.
Como resultado, o nome do arquivo “RFQ-101432620247fl*U+202E*xslx.exe” é exibido para a vítima como “RFQ-101432620247flexe.xlsx”, enganando-a, fazendo-a pensar que está abrindo um documento do Excel.
O executável foi projetado para eliminar um total de oito cargas úteis, incluindo um arquivo Excel falso (“20240416.xlsx”) e um script Visual Basic (VB) altamente ofuscado (“3156.vbs”) que é responsável por exibir o arquivo XLSX para o usuário para manter o ardil e lançar dois outros scripts chamados “i4703.vbs” e “i6050.vbs”.
Ambos os scripts são usados para configurar a persistência no host do Windows por meio de uma tarefa agendada, mascarando-os como uma tarefa de atualização do navegador Google Chrome para evitar alertas. Dito isso, as tarefas agendadas são orquestradas para executar dois scripts VB exclusivos chamados “97468.tmp” e “68904.tmp” a cada minuto.
Cada um desses scripts, por sua vez, é empregado para executar dois scripts PowerShell diferentes “Tmp912.tmp” e “Tmp703.tmp”, que são usados para conectar-se a uma conta Dropbox e Google Drive controlada por um ator e baixar mais dois scripts PowerShell referidos. como “tmpdbx.ps1” e “zz.ps1”
Os scripts VB são então configurados para executar os scripts do PowerShell recém-baixados e buscar mais arquivos dos serviços em nuvem, incluindo binários que podem ser executados dependendo das políticas do sistema.
“O script PowerShell de estágio final zz.ps1 tem funcionalidade para baixar arquivos do Google Drive com base em critérios específicos e salvá-los em um caminho especificado no sistema local dentro do diretório ProgramData”, disseram os pesquisadores.
O fato de ambos os scripts do PowerShell serem baixados instantaneamente significa que eles podem ser modificados pelos agentes da ameaça à vontade para especificar os arquivos que podem ser baixados e executados no host comprometido.
Também baixado por meio de 68904.tmp está outro script do PowerShell que é capaz de recuperar um binário compactado e executá-lo diretamente da memória para manter uma conexão de rede com o servidor de comando e controle (C2) do invasor.
A empresa de segurança cibernética com sede no Texas disse ao The Hacker News que não pode fornecer informações sobre os alvos e a escala da campanha devido ao fato de a investigação ainda estar em andamento.
Este desenvolvimento é mais uma vez um sinal de que os agentes de ameaças estão cada vez mais a utilizar indevidamente serviços legítimos em seu benefício e a passar despercebidos.
“Esta abordagem segue um fio condutor em que os agentes de ameaças conseguem infectar e persistir em sistemas comprometidos, ao mesmo tempo que se misturam ao ruído de fundo regular da rede”, disseram os pesquisadores. “Ao incorporar scripts maliciosos em plataformas de nuvem aparentemente inócuas, o malware não apenas garante acesso sustentado aos ambientes alvo, mas também utiliza essas plataformas como canais para exfiltração de dados e execução de comandos.”
Fonte: https://thehackernews.com/2024/05/malware-delivery-via-cloud-services.html
Comentários