Computer Security O APT36 Usa o Pânico Causado pelo Coronavírus para...

O APT36 Usa o Pânico Causado pelo Coronavírus para Espalhar o Crimson RAT

temores de coronavírus espalhar malware Um ator de ameaças vinculado ao Paquistão, o APT36, foi visto usando um aviso de saúde enganador, que explora o pânico global em todo o mundo graças à pandemia do Coronavírus. Esse comunicado é usado para espalhar o Crimson RAT (Remote Access Trojan).

O Crimson RAT pode roubar credenciais dos navegadores afetados, capturar capturas de tela e coletar informações sobre o software anti-vírus. Também pode listar unidades, diretórios, processos em execução e muito mais. O uso dessas habilidades de exfiltração de dados é o que é típico para as operações do APT36, também conhecido sob os nomes ProjectM, Mythic Leopard, Transparent Tribe, TEMP.Lapis. Eles existem desde 2016 ou possivelmente antes disso.

O APT36 é Suspeito de Ter Fortes Laços Paquistaneses

Acredita-se que o APT36 seja um ator de ameaças apoiado pelo Paquistão, que visa principalmente a defesa, embaixadas e instituições governamentais na Índia. Sabe-se que o grupo realiza espionagem cibernética com a intenção de coletar informações confidenciais da Índia.

Os pesquisadores notaram que as campanhas anteriores realizadas pelo APT36 estavam contando com táticas de water hole e spear-phishing para chegar às vítimas. Os casos mais recentes de e-mails de phishing foram vistos anexando um documento de macro mal-intencionado que visa a vulnerabilidades em arquivos RTF (Rich Text Format). O uso dessas vulnerabilidades permite que os agentes de ameaças executem scripts do Visual Basic sempre que os documentos infectados forem abertos. Exemplos dessas vulnerabilidades podem ser vistos no CVE-2017-0199.

E-mails estão Sendo Usados para Espalhar o Golpe na Índia

Os e-mails fingem vir de uma fonte legítima no governo indiano (e-mail.gov.in.maildrive[.]e-mail/?Att=1579160420) que afirma ser um 'Comunicado à Saúde' relacionado à pandemia do Coronavírus. Depois que as vítimas clicam em qualquer um dos documentos maliciosos anexados e ativam as macros, o Crimson RAT é descartado e executado.

Esse macro malicioso é conhecido por criar dois diretórios. Eles são chamados de 'Edlacar' e 'Uhaiws' e, em seguida, o macro verifica o tipo de sistema operacional. Com base no tipo de sistema operacional, o macro seleciona uma versão de 32 ou 64 bits da carga útil principal do RAT, baixada no formato .zip. O arquivo morto é armazenado em uma das duas caixas de texto no formulário de usuário1. Quando isso acontece, ele deixa a carga no diretório Uahaiws, descompactando o conteúdo enquanto usa a função UnAldizip. Isso descarta a carga útil do RAT no diretório Edlacar. A etapa final chama uma função Shell que executa o Trojan de acesso remoto.

Depois que o Crimson RAT é conectado ao servidor de Comando e Controle codificado, ele envia as informações coletadas sobre as vítimas de volta ao servidor. Esses dados podem incluir uma lista de IDs e seus processos em execução, o nome de usuário e o nome do host da máquina e muito mais. Os pesquisadores mencionaram que o APT36 também estava usando diferentes cepas de RATs ao longo dos anos. Exemplos são o njRAT, o DarkComet e o Luminosity RAT.

No passado, essas campanhas conseguiam comprometer os militares indianos, bem como os bancos de dados do governo, roubando dados. Os arquivos incluíam treinamento, documentos táticos e oficiais, além de planos estratégicos. Eles conseguiram dados pessoais, mensagens de texto, detalhes de contato, digitalizações de passaporte e muito mais.

Outros APTs Usando a Pandemia para Espalhar o Caos

Vários APTs estão usando a pandemia do COVID-19 no momento em que escrevemos para infectar as vítimas com diversos tipos de malware. Um grupo chinês do APT foi visto usando o pânico causado pelo COVID-19 para infectar as vítimas da Mongólia com um malware não visto anteriormente, apelidado de "Vicious Panda". Os atacantes continuam utilizando a alavancagem dos ataques temáticos do Coronavírus para espalhar o pânico pelo mundo à medida que a pandemia se espalha no mundo físico. Eles estão usando esquemas de obtenção de credenciais, ataques de malware e URLs bloqueados.

Os pesquisadores mencionaram que os funcionários devem estar cientes dos golpes em andamento. Isso é especialmente relevante com mais empresas agora migrando para um modelo de trabalhar em casa. A situação é usada como uma oportunidade para espalhar informações erradas, gerar histeria em massa e capitalizar os medos da população com campanhas de malware.

Carregando...