BadPatch

A ameaça BadPatch existe desde 2017 - foi quando chamou a atenção dos pesquisadores de malware. Desde as primeiras campanhas do BadPatch, essa ameaça foi distribuída por e-mails de phishing. Os e-mails maliciosos conteriam anexos com macros que carregam a carga útil do malware.

Uma das operações mais notáveis do BadPatch foi realizada em 2019. Nesta campanha, os operadores do malware BadPatch segmentaram usuários localizados no Oriente Médio. Normalmente, os cibercriminosos usavam e-mails falsos para propagar a ameaça BadPatch. Nesse caso específico, os e-mails fraudulentos pareciam ter sido enviados por um político de alto escalão do Oriente Médio. O malware BadPatch parece ser uma ferramenta de hacking usada para operações de reconhecimento. De acordo com especialistas em malware, é provável que um APT (Ameaça Persistente Avançada) seja responsável pela ameaça BadPatch. Alguns especulam que o infame grupo de hackers Molerats pode ser o ator malicioso por trás das campanhas do BadPatch.

O malware BadPatch parece segmentar apenas sistemas Windows. No entanto, analistas de segurança detectaram uma ameaça do Android, que usa a infraestrutura usada pelo malware BadPatch. Isso indicaria que o Molerats APT também está envolvido no desenvolvimento de malware, direcionado a dispositivos Android. A ameaça do Android em questão está sendo distribuída por um aplicativo falso chamado 'Welcome Chat'. Este aplicativo pode parecer um utilitário de mensagens instantâneas inofensivo, mas seu único objetivo é permitir que os invasores tenham acesso aos dispositivos Android direcionados. Assim como a ameaça BadPatch, o malware Android distribuído através do aplicativo falso 'Welcome Chat' tem como alvo os usuários do Oriente Médio.

Pesquisadores de malware detectaram outra ameaça, que parece estar conectada às operações do BadPatch. O nome deste malware é B3hpy . Essa ameaça é direcionada exclusivamente aos computadores Windows. É usado para a exfiltração de dados, além de gerenciar configurações e controlar os processos ativos no host infectado. O malware B3hpy é uma ameaça bastante perigosa, apesar de não ser tão complexo quanto o projeto BadPatch.

Quando o BadPatch infecta um PC de destino, permite que os atacantes:

• Colete informações sobre o hardware e o software do host.
• Procure por certos tipos de arquivos e nomes de arquivos, que serão direcionados para a exfiltração.
• Troque entre servidores SMTP e HTTP C&C (Command & Control).
• Tire capturas de tela das janelas ativas e da área de trabalho do usuário.
• Execute um módulo de registro de chaves que coletaria as teclas digitadas na vítima.

Apesar de existir por três anos, as operações do BadPatch não parecem estar terminando. Os operadores deste projeto estão aplicando atualizações regulares à ferramenta de hackers, o que lhe permite permanecer potente e relevante.