Cotação de desconto para licenças múltiplas
Banco de Dados de Ameaças Malware Malware Airstalk

Malware Airstalk

Por Mezo em Malware, Ameaça Persistente Avançada (APT)
Traduzir Para:

Uma família de malware recém-descoberta, atribuída a um suposto grupo patrocinado por um Estado-nação (designado como CL-STA-1009), está sendo distribuída de maneira consistente com uma intrusão na cadeia de suprimentos. O implante, denominado Airstalk, utiliza a infraestrutura de gerenciamento de dispositivos móveis (MDM) corporativa para ocultar o tráfego de Comando e Controle (C2) e exfiltrar artefatos de navegador e outros dados sensíveis de hosts comprometidos.

Como a ameaça se esconde à vista de todos.

O Airstalk reaproveita a API do AirWatch (agora Workspace ONE Unified Endpoint Management) como seu canal C2 secreto. Em vez de usar a API para gerenciamento legítimo de dispositivos, o malware utiliza atributos personalizados do dispositivo e recursos de upload de arquivos (blob) para trocar mensagens com seus operadores, transformando efetivamente um endpoint MDM em um ponto de coleta de dados para comunicações do atacante e uploads de grandes volumes de dados.

Duas implementações: PowerShell vs. .NET

Foram observadas duas versões distintas: uma com backdoor em PowerShell e outra em .NET com mais recursos. Ambas implementam um protocolo C2 multithread e suportam operações de roubo de dados, como captura de telas e coleta de cookies, histórico de navegação e favoritos. Há indícios de que alguns artefatos foram assinados com um certificado que os pesquisadores consideram provavelmente roubado.

Variante do PowerShell: Comportamento e capacidades do C2

O implante do PowerShell se comunica através do endpoint /api/mdm/devices/. Ao iniciar, ele estabelece contato com um handshake simples CONNECT/CONNECTED, recebe tarefas agrupadas como mensagens 'ACTIONS', as executa e retorna os resultados usando mensagens 'RESULT'. Quando uma tarefa gera uma grande quantidade de dados, o Airstalk os carrega usando o recurso de blob da API MDM.

As ações observadas que são suportadas pelo backdoor do PowerShell incluem:

  • Faça uma captura de tela.
  • Recuperar cookies do Google Chrome.
  • Liste todos os perfis de usuário do Chrome.
  • Obtenha os favoritos para um perfil específico do Chrome.
  • Coletar o histórico de navegação de um perfil específico do Chrome.
  • Enumere todos os arquivos no diretório do usuário.
  • Desinstala-se automaticamente.

A variante .NET: Destinos e capacidades aprimoradas

A versão .NET amplia o escopo e a sofisticação. Ela tem como alvo navegadores corporativos adicionais (Microsoft Edge e Island), tenta se passar por um executável auxiliar do AirWatch (AirwatchHelper.exe) e adiciona três tipos de mensagens extras usadas para notificações de incompatibilidade de versão, saída de depuração e sinalização.

Principais diferenças e comportamentos adicionais da variante .NET:

Utiliza três threads de execução dedicadas para lidar com tarefas de C2, exfiltrar logs de depuração e realizar beacons periódicos para C2.

Oferece suporte a um conjunto de comandos mais amplo para exfiltração direcionada e controle remoto, incluindo comandos para extrair perfis de navegador específicos, fazer upload de arquivos, abrir URLs, listar o conteúdo de diretórios e muito mais.

Algumas amostras do .NET são assinadas com um certificado atribuído à 'Aoteng Industrial Automation (Langfang) Co., Ltd', que analistas acreditam ter sido provavelmente roubado; as primeiras amostras apresentam um carimbo de data/hora de compilação de 28 de junho de 2024.

Ao contrário da versão em PowerShell, as amostras da variante .NET analisadas não criam de forma consistente uma tarefa agendada para persistência.

O conjunto de comandos expandido observado nos exemplos do .NET inclui:

  • Captura de tela
  • Atualizar Chrome (exfiltrar um perfil específico do Chrome)
  • FileMap (lista o conteúdo de um diretório)
  • RunUtility (ainda não implementado nas amostras observadas)
  • EnterpriseChromeProfiles (enumerar perfis do Chrome)
  • UploadFile (exfiltrar arquivos/artefatos e credenciais)
  • OpenURL (abrir um URL no Chrome)
  • Desinstalar
  • EnterpriseChromeBookmarks (recuperar favoritos de um perfil do Chrome)
  • EnterpriseIslandProfiles (enumerar perfis de navegador da ilha)
  • AtualizarIslândia (exfiltrar um perfil específico da Ilha)
  • ExfilAlreadyOpenChrome (extrair cookies do perfil atual do Chrome)

Distribuição e impacto

A atribuição de quem foi alvo e o método exato de distribuição permanecem incertos. No entanto, o uso de APIs de MDM como C2 e o foco explícito em navegadores corporativos, particularmente o Island, voltado para implantações empresariais, apontam fortemente para uma violação da cadeia de suprimentos ou de um fornecedor terceirizado, visando empresas de terceirização de processos de negócios (BPO). Os provedores de BPO são alvos atraentes porque cookies de sessão e artefatos de perfil roubados do navegador podem conceder aos invasores acesso a inúmeros ambientes de clientes subsequentes; o acesso persistente por meio da infraestrutura de um fornecedor amplifica o impacto.

Conclusão

O caso Airstalk demonstra uma tendência preocupante: atacantes abusando de plataformas de gerenciamento confiáveis para misturar tráfego malicioso com telemetria administrativa legítima. Para organizações que dependem de fornecedores terceirizados ou serviços de BPO, essa técnica aumenta significativamente o risco de que uma única violação se propague por diversos ambientes de clientes. A vigilância em relação à atividade de MDM, à procedência dos certificados e à integridade das ferramentas dos fornecedores é essencial para detectar e limitar esse tipo de ameaça.

Tendendo

Mais visto

Carregando...