Trojan bancário Blackmoon
Analistas de cibersegurança descobriram uma campanha ativa de intrusão em várias etapas, direcionada a indivíduos e organizações indianas. A operação parece ser de natureza cibernética de espionagem e se baseia em uma estrutura complexa de backdoors para obter acesso secreto e de longo prazo a sistemas comprometidos.
Índice
O phishing como vetor inicial de infecção
A campanha começa com e-mails de phishing que se fazem passar por correspondências oficiais do Departamento de Imposto de Renda da Índia. Essas mensagens induzem os destinatários a baixar um arquivo ZIP sob o pretexto de notificações de penalidades fiscais. Uma vez aberto, o arquivo inicia a cadeia de infecção que, em última instância, permite o monitoramento persistente e o roubo de dados.
Arquivo Armamentizado e Execução Furtiva
O arquivo ZIP entregue contém cinco componentes, todos ocultos, exceto um executável falso chamado 'Inspection Document Review.exe'. Este arquivo é usado indevidamente para instalar uma biblioteca de vínculo dinâmico maliciosa incorporada no arquivo compactado. A DLL maliciosa realiza verificações de evasão de depuração e se comunica com um servidor remoto de comando e controle para obter a carga útil da próxima etapa.
Escalada de privilégios e mascaramento de processos
O shellcode baixado utiliza uma técnica baseada em COM para burlar o Controle de Conta de Usuário (UAC), concedendo privilégios elevados. Em seguida, ele altera seu próprio Bloco de Ambiente de Processo (PEB) para se passar pelo processo legítimo explorer.exe do Windows, reduzindo a probabilidade de detecção por ferramentas de segurança e analistas.
Entrega adaptativa de carga útil
Uma etapa subsequente, '180.exe', é obtida do domínio eaxwwyr[.]cn. Este arquivo é um instalador Inno Setup de 32 bits que modifica seu fluxo de execução dependendo da presença de software de segurança específico no host infectado, permitindo que o malware ajuste dinamicamente suas táticas de evasão.
Evasão de software de segurança e ligação com Blackmoon
Quando um software de segurança é detectado, o malware evita a desativação direta. Em vez disso, simula movimentos do mouse para navegar pela interface de segurança e adicionar silenciosamente componentes maliciosos à lista de exclusões. Essa atividade é facilitada por uma DLL considerada uma variante da família de malware Blackmoon (KRBanker), historicamente associada a ataques a empresas na Coreia do Sul, nos Estados Unidos e no Canadá desde seu surgimento em 2015.
Uso indevido de uma ferramenta empresarial legítima
Um dos arquivos adicionados à lista de exclusão é o 'Setup.exe', um utilitário legítimo da SyncFutureTec Company Limited. Este programa instala o arquivo 'mysetup.exe', identificado como SyncFuture TSM (Terminal Security Management), uma solução comercial de monitoramento e gerenciamento remoto desenvolvida pela Nanjing Zhongke Huasai Technology Co., Ltd. Embora projetada para administração corporativa, ela é reutilizada nesta campanha como uma plataforma abrangente de espionagem.
Componentes de suporte e manipulação do sistema
Após a implantação, elementos adicionais são instalados para preparar e controlar o ambiente:
- Scripts em lote que criam diretórios personalizados, modificam listas de controle de acesso, alteram permissões de área de trabalho e executam tarefas de limpeza e restauração.
- Um executável orquestrador, 'MANC.exe', que coordena serviços e permite o registro detalhado de atividades.
Impacto operacional e significado estratégico
Ao abusar de uma ferramenta empresarial legítima juntamente com malware personalizado, os operadores obtêm controle remoto sobre os endpoints infectados, visibilidade contínua da atividade do usuário e um mecanismo centralizado para exfiltração de dados sensíveis. O uso coordenado de sideloading de DLLs, escalonamento de privilégios, reutilização de ferramentas comerciais, medidas anti-análise e evasão de software de segurança reflete um alto grau de maturidade técnica e uma clara intenção de manter controle persistente e granular sobre os sistemas comprometidos.
