MoDi RAT

Uma nova campanha de ataque que entrega o Trojan de Acesso Remoto MoDi RAT foi detectada por especialistas em segurança cibernética. A ameaça possui todas as funcionalidades ameaçadoras esperadas de um RAT. O MoDi RAT dá aos invasores acesso remoto ao computador infectado. Isso permite que os hackers executem comandos arbitrários, manipulem o sistema de arquivos, exfiltrem informações de interesse coletadas do dispositivo comprometido ou forneçam cargas adicionais ameaçadoras.

O MoDi RAT também pode tentar se conectar a servidores adicionais de Comando e Controle (C2, C&C), o que significa que quaisquer arquivos ou dados privados coletados podem ser transmitidos e carregados para mais de um servidor externo. Os dados coletados podem incluir informações detalhadas do host e do sistema, credenciais de login confidenciais, bem como detalhes financeiros.

No entanto, os aspectos mais interessantes descobertos pelos pesquisadores da infosec não estavam relacionados com a ameaça em si, mas com o método pelo qual o MoDi RAT foi entregue.

Uma Cadeia de Ataque Convoluta Entrega o MoDi RAT

Antes que a carga útil final que consiste em MoDi RAT seja estabelecida no sistema comprometido, o ataque passa por vários estágios e envolve alguns truques engenhosos projetados para evitar a detecção. O vetor de ataque inicial é provavelmente uma campanha de e-mail de spam disseminando e-mails com anexos corrompidos. Quando o usuário executa o anexo de e-mail, ele aciona um Visual Basic Script que se conecta a um site remoto atuando como um ponto de entrada para vários redirecionamentos HTTP 302 antes de finalmente chegar a um arquivo morto .ZIP hospedado no OneDrive. O arquivo contém um arquivo VBS (VBE) codificado.

Enquanto isso, o script VBS inicial deixa um segundo arquivo VBS no sistema de arquivos e injeta três entradas de blob de dados no registro do Windows que são usadas nos estágios seguintes do ataque. Depois disso, ele prossegue com a criação de uma Tarefa Agendada responsável por executar o script VBS em um ponto pré-determinado no futuro. O código VBS, por sua vez, inicia o PowerShell e insere os comandos necessários na área de transferência do sistema. A ameaça então entrega os comandos à janela do PowerShell por meio do comando SendKeys do VBS de forma programática. Essa técnica evita gerar uma instância do PowerShell contendo parâmetros de linha de comando incomuns que podem ser detectados por produtos de segurança.

Fase de Ataque Sem Arquivo

O resto das ações ameaçadoras são totalmente sem arquivo. As etapas envolvem o PowerShell extraindo um decodificador .NET executável dos blobs do Registro e injetando-o em um processo do sistema. O decodificador então extrai um injetor .NET e blobs de carga útil. Nesta fase, o injetor continua a carregar a carga, inserindo-a no aplicativo msbuild.exe.

Deve-se notar que vários strings, o nome do arquivo ZIP inicial (Timbres-electroniques), bem como uma das chaves do Registro (Entreur), são palavras de origem francesa. Pode não ser uma surpresa, então, que entre os alvos detectados do MoDi RAT estavam várias empresas francesas.