Computer Security Astaroth Malware Se Muda para os Trabalhadores do...

Astaroth Malware Se Muda para os Trabalhadores do Cloudflare para Evitar a Detecção

ataque de cavalo de tróia com malware astaroth Em notícias recentes, um relatório publicado sobre a disseminação do Astaroth, um malware sem arquivos que atormentava os usuários, atraiu a atenção da comunidade de segurança da Internet. Essa ameaça executou ferramentas do sistema que usavam uma cadeia de conexão complexa que não usava executáveis para executar suas ações em segredo.

Após o relatório publicado, o grupo por trás das ações da campanha Astaroth decidiu mudar de tática. Especificamente, o que eles fizeram foi passar a usar o Cloudflare Workers para continuar sua campanha tentando evitar a detecção. O processo foi realizado em várias etapas, conforme explicado abaixo.

Estágio Um

Os atores por trás da campanha começaram seu trabalho usando um esquema clássico de engenharia social. O que eles fizeram foi enviar uma mensagem parecida com as respostas automáticas usuais que as organizações recebem por solicitações de cobrança ou auditoria. Também foi usado um anexo HTML que não tenta ocultar que é realmente um arquivo HTML. Agora, esse é um caso simples de uso de HTML, pois ele foi criado especificamente para ofuscar e conter um código Javascript.

Ele começa com uma sequência simples de Base64 para a função ArrayBuffer, seguida pelo URL codificado em Base64 usado para executar a próxima etapa do ataque. A terceira seção é usada para gerar um objeto blob na memória do navegador com base na URL e fazer o download na sessão do navegador. Existem seções de preenchimento do arquivo que não contribuem para o processo.

Ao usar o Cloudflare, os atores de tratamento estão adicionando uma camada de segurança em que ferramentas de análise automatizadas ou caixas de areia receberiam a página de desafio, em vez da carga útil real do Astaroth. A geolocalização de IP do Cloudflare adiciona um cabeçalho chamado CF-IPCountry a todas as solicitações que saem de máquinas infectadas para o servidor host. Um visitante de IPs brasileiros pode ver a carga útil real do segundo passo. Para gerar a segunda etapa do ataque, o JSON da URL é analisado e convertido do buffer Base64 para Array, gravado no armazenamento de blobs do navegador, renomeado para corresponder ao arquivo HTML. Feito isso, um link é criado e clicado automaticamente para fazer o download no navegador da máquina infectada.

EstágioDois

Esta etapa começa com um arquivo zip criado com base nos dados do URL. O método de criação tem algumas vantagens em relação ao método usual de baixar um arquivo zip. O agente de ameaça pode criar arquivos diferentes para cada destino diferente e pode servi-lo através de um único waypoint. O tráfego de rede pode acabar bloqueando os objetos do arquivo de download, mas o JSON é uma parte natural da Web, portanto não será bloqueado. Alguns fornecedores de segurança podem acabar identificando o objeto de arquivo na rede e enviá-lo para análise. Isso acabaria expondo a operação rapidamente.

Os Cloudflare Workers são nomeados dessa maneira, derivando o nome de Web Workers, API para scripts executados em segundo plano em um navegador da Web e interceptando solicitações HTTP. O Cloudflare Workers permite que os usuários executem JavaScript nos diversos data centers do Cloudflare em todo o mundo. O uso de um trabalhador permite realizar várias operações diferentes.

Estágio Três

O arquivo de script é salvo no diretório temp com o nome Lqncxmm: vbvvjjh.js e é executado com o Windows Script Host (Wscript). O agente de ameaças usa esse recurso do Cloudflare a seu favor, pois adiciona um simples gerador de números aleatórios e seleciona aleatoriamente o URL que baixa a carga útil da terceira etapa. Na terceira etapa, existem dez links aleatórios e exclusivos de nó do trabalhador usados para um número aleatório entre 20.000 e 50.000, usados duas vezes para cada um dos links. Um link pode ter até 900 milhões de combinações.

Pesquisas por amostras de Astaroth usando o URLhaus mostraram que pelo menos um analista conseguiu pegar os links e enviá-los para análise. Cada vez que o script é executado, no entanto, os URLs são diferentes. Em sistemas que executam um Windows de 32 bits, os links do Cloudflare são ignorados e o Astaroth usa um repositório particular do Google com um link estático.

Os atores de ameaças que usam Astaroth parecem estar se esforçando ao máximo para evitar a detecção e dificultar os pesquisadores e suas tentativas de análise. O uso do Cloudflare mostra que eles estão procurando maneiras inovadoras de gerar URLs de carga útil aleatória e de reconstruir suas operações caso seu trabalho seja comprometido.

Carregando...