ABK Downloader

O Tick APT (Ameaça Persistente Avançada) é um grupo de hackers, mais conhecido por suas campanhas de reconhecimento. Esse grupo de hackers não costuma atingir usuários comuns. Em vez disso, muitas vezes persegue alvos de destaque que chamam sua atenção. Entre suas operações mais conhecidas está a campanha lançada contra várias grandes corporações localizadas no Japão. O nome da campanha era "Operação ENDTRADE". Uma das ferramentas do arsenal de hackers do Tick APT que foi utilizado na campanha mencionada acima é o ABK Downloader. Esse é um Trojan Downloader, usado pelos invasores para plantar ameaças adicionais nos sistemas infectados.

O Tick APT usa principalmente emails de phishing como vetor de infecção ao propagar o ABK Downloader. Os emails em questão seriam criados com cuidado para parecer legítimos e confiáveis. Os e-mails falsos geralmente contêm um anexo corrompido ou um link para um arquivo que está alojado em um servidor gerenciado pelos atacantes. O documento corrompido usado na propagação do ABK Downloader usaria duas vulnerabilidades conhecidas - CVE-2018-0798 e CVE-2018-0802. Ambas as vulnerabilidades estão relacionadas ao serviço Microsoft Equation Editor. Os usuários que não atualizarem o pacote do Microsoft Office podem estar em risco de ataques cibernéticos, como os lançados pelo Tick APT.

A maioria dos APTs garantiria que suas ameaças fossem capazes de evitar ambientes sandbox. Geralmente, a ameaça procuraria certos processos ou drivers, que estão vinculados à presença de software de depuração de malware. No entanto, os criadores do ABK Downloader usaram uma técnica diferente. O Tick APT aumentou o tamanho do ABK Downloader para 50 MB artificialmente. A maioria dos aplicativos antimalware é projetada para desconsiderar arquivos iguais ou maiores que 50 MB. Isso pode ajudar o ABK Downloader a permanecer sob o radar de qualquer ferramenta antivírus que possa estar presente no sistema da vítima.

Se o ABK Downloader for executado no computador infectado como pretendido, ele buscará uma carga útil secundária. O Tick APT pode usar diferentes cargas úteis secundárias em diferentes campanhas, dependendo do objetivo final da operação.