Um autor de ameaça cibernética não identificado anteriormente direciona sua atenção para a indústria aeroespacial dos EUA, implantando um malware recém-descoberto baseado no PowerShell, chamado PowerDrop. Esse malware avançado utiliza várias táticas enganosas, técnicas de codificação e criptografia para evitar a detecção. O nome "PowerDrop" deriva de sua dependência da ferramenta Windows PowerShell e da string "DROP" (DRP) incorporada em seu código para preenchimento.
O PowerDrop é uma ferramenta de pós-exploração, projetada para coletar informações confidenciais de redes comprometidas após obter acesso não autorizado por meio de métodos alternativos. Para estabelecer a comunicação com um servidor de Comando e Controle (C2), o malware emprega mensagens de solicitação de eco do Protocolo de Mensagens de Controle da Internet (ICMP) como beacons. O servidor C2 então responde com comandos criptografados decodificados e executados no host comprometido. Da mesma forma, uma mensagem de ping ICMP visa exfiltrar os resultados dessas instruções.
Notavelmente, o PowerDrop aproveita o serviço Windows Management Instrumentation (WMI) para executar os comandos do PowerShell, mostrando o uso do agente de ameaças de técnicas de "viver fora da terra" para evitar a detecção. Embora a natureza principal do malware possa não ser excepcionalmente sofisticada, sua capacidade de ofuscar atividades suspeitas e escapar das defesas dos end points indica o envolvimento de agentes de ameaças mais avançados.
Revelando as Táticas de Ataque de um Malware Furtivo
O malware recém-descoberto foi revelado pelos pesquisadores de segurança por meio de um sistema avançado de detecção de aprendizado da máquina – tecnologia poderosa que examina o conteúdo das execuções de script do PowerShell, permitindo a identificação dessa ameaça indescritível. No entanto, apesar desse avanço, a cadeia de infecção exata e o comprometimento inicial do PowerDrop permanecem envoltos em mistério.
Os analistas especulam sobre os possíveis métodos empregados pelos invasores para implantar o script PowerDrop. Isso inclui explorar vulnerabilidades, utilizar e-mails de phishing para atingir as vítimas ou até mesmo recorrer à tática enganosa de sites falsificados de download de software. O caminho exato através do qual o PowerDrop se infiltrou nos sistemas ainda não foi determinado. Para aprimorar sua natureza secreta, o script é codificado usando Base64, permitindo que funcione como um backdoor ou Trojan de Acesso Remoto (RAT). Essa técnica sofisticada permite que o PowerDrop evite a detecção e mantenha a persistência nos sistemas comprometidos.
Investigar os logs do sistema revela insights cruciais sobre o modus operandi do PowerDrop. A análise revelou que o script malicioso utilizou efetivamente filtros de eventos WMI previamente registrados e consumidores com o apelido distinto 'SystemPowerManager'. O próprio malware criou esse mecanismo habilmente camuflado ao comprometer o sistema usando a ferramenta de linha de comando 'wmic.exe'.
A revelação das características únicas do PowerDrop lança luz sobre a sofisticação das ameaças cibernéticas modernas. Com sua capacidade de evitar a detecção e operar secretamente em sistemas comprometidos, o PowerDrop exemplifica a constante evolução e engenhosidade de agentes mal-intencionados no cenário digital.
Indústria Aeroespacial dos EUA sob Ataque: A Introdução do Novo Malware PowerDrop capturas de tela
