DownEx Malware
De acordo com os pesquisadores de infosec, as organizações governamentais na Ásia Central se tornaram foco de uma campanha de espionagem direcionada e complexa. Essa operação usa um novo tipo de malware chamado DownEx, que até então era desconhecido dos especialistas. Até o momento, os ataques não foram atribuídos a um grupo específico de APT (Ameaça Persistente Avançada) ou cibercriminoso, mas as evidências apontam para o envolvimento de atores baseados na Rússia.
O primeiro incidente relatado envolvendo o malware DownEx ocorreu no Cazaquistão, onde um ataque altamente direcionado foi lançado contra instituições governamentais estrangeiras no final de 2022. Outro ataque foi observado posteriormente no Afeganistão. O uso de um documento com tema diplomático para atrair vítimas e o foco dos atacantes na coleta de dados confidenciais sugerem fortemente o envolvimento de um grupo patrocinado pelo Estado. No entanto, a identidade do equipamento de hackers ainda não foi confirmada. A operação ainda está em andamento e novos ataques podem ocorrer, alertam os pesquisadores da Bitdefender, que divulgaram um relatório sobre a ameaça e sua atividade de ataque associada.
A Cadeia de Ataque do DownEx Malware Começa com Mensagens Persuasivas
Suspeita-se que o meio inicial de invasão para a campanha de espionagem envolveu um e-mail de spear phishing carregando uma carga útil ameaçadora. A referida carga útil é um carregador executável disfarçado como um documento do Microsoft Word. Depois que o anexo é aberto, dois arquivos são extraídos, um dos quais é um documento falso que é mostrado à vítima como uma isca. Simultaneamente, um arquivo de aplicativo HTML malicioso (.HTA) contendo código VBScript é executado em segundo plano.
O arquivo HTA foi projetado para estabelecer contato com um servidor remoto de comando e controle (C2, C&C) para obter a carga útil do próximo estágio. A natureza exata dessa ferramenta de malware ainda não foi divulgada, mas acredita-se que seja um backdoor encarregado de estabelecer persistência no sistema violado. Isso sugere que a campanha está sendo realizada por um agente de ameaça altamente organizado e sofisticado, provavelmente um grupo patrocinado pelo Estado, com foco na exfiltração de dados de instituições governamentais estrangeiras.
Ferramentas Adicionais da Ameaça são Implantadas com o DownEx Malware
Duas versões diferentes do DownEx Malware foram observadas. A primeira variante usa um VBScript intermediário para coletar e enviar arquivos para um servidor remoto na forma de um arquivo ZIP. A segunda variante é baixada por meio de um script VBE chamado slmgr.vibe e usa VBScript em vez de C++. Apesar das diferentes linguagens de programação, a segunda versão mantém os mesmos recursos maliciosos da primeira.
A segunda variante do DownEx Malware emprega uma técnica de ataque sem arquivo. Isso significa que o script DownEx é executado apenas na memória e nunca toca no disco do dispositivo infectado. Essa técnica destaca a crescente sofisticação dos ataques cibernéticos modernos e mostra que os cibercriminosos estão desenvolvendo novos métodos para tornar seus ataques mais eficazes e difíceis de detectar.
