BlackSoul Malware

Um novo problema de malware, um RAT (Trojan de Acesso Remoto) foi detectado sendo implantado por meio do que se acredita ser uma campanha de spear-phishing direcionada a entidades governamentais. O malware foi chamado de BlackSoul pelos pesquisadores da Infosec que detectaram a operação. Devido às semelhanças no código da ferramenta de malware e nos TTPs (técnicas, táticas e procedimentos) gerais da campanha, os especialistas determinaram que os atores de ameaças mais provavelmente responsáveis por isso são o grupo de hackers ReconHellcat.

O ataque começa com um e-mail falso com um arquivo CAB comprometido. O arquivo e o arquivo dentro dele têm um nome idêntico - '1-10-22-hb44_final.' A implicação é que o anexo é um documento do Instituto Nacional de Padrões e Tecnologia (NIST), que pode ser uma informação de interesse para os indivíduos-alvo.

O arquivo executável contido no arquivo carrega o carregador de primeiro estágio. O malware está equipado com técnicas de ofuscação que são consistentes com ferramentas de ameaça anteriores atribuídas ao grupo ReconHellcat. Ao estabelecer uma conexão com a infraestrutura Command-and-Control (C2, C&C), o carregador irá buscar e mostrar a carga final na forma de dois novos arquivos. Ele também tenta ocultar sua atividade apresentando ao usuário-alvo uma janela legítima do Microsoft Word com o documento legítimo do site do NIST. Os dois arquivos colocados na máquina comprometida pelo carregador são um executável chamado 'blacksoul' e um arquivo DLL chamado 'blacksoulLib'.

A carga útil BlackSoul em si é um RAT comparativamente simples com uma quantidade limitada de funções e comandos acionáveis. Ele reconhece apenas quatro comandos recebidos dos servidores C2, mas são mais do que suficientes. O BlackSoul pode executar comandos arbitrários, buscar arquivos adicionais, soltá-los no sistema infectado e exfiltrar arquivos dele. Para evitar a detecção, o RAT foi equipado com várias técnicas de ofuscação. Principalmente, ele constrói sequências na pilha dinamicamente e, em seguida, usa vários mecanismos diferentes, como uma cifra XOR fixa e uma cifra César usando valores de deslocamento variável para desofuscar.

Quanto ao arquivo de biblioteca DLL, quando invocado pelo BlackSoul, ele tenta coletar dados dos navegadores Chrome, Firefox e Opera. Se tais dados não puderem ser obtidos, o programa termina sua operação prematuramente. Ele também ajuda na conexão inicial com os servidores C2, decodificando o URL C2 e o URL Cloudflare DNS-over-HTTPS (DoH). Além disso, ele gera as informações de login necessárias e retorna os dados coletados para o BlackSoul Malware em formato JSON.

ReconHellcat parece estar seguindo seu padrão de lançar campanhas de ataque contra organizações governamentais. Em operações anteriores, os hackers foram documentados, tentando se infiltrar em organizações diplomáticas e órgãos governamentais de defesa.