BoomBox Malware

O BoomBox Malware é uma ameaça de downloader de estágio intermediário usada em um ataque de phishing que se faz passar pela Agência dos Estados Unidos para o Desenvolvimento Internacional (USAID). O agente da ameaça conseguiu assumir a conta de contato da agência e, em seguida, a usou para enviar mais de 3.000 emails de phishing para mais de 150 alvos. As organizações visadas incluíram agências governamentais e entidades envolvidas com direitos humanos e trabalho humanitário, bem como desenvolvimento internacional.

O ataque é atribuído ao grupo APT29, os mesmos hackers que realizaram o ataque à cadeia de suprimentos contra a SolarWinds. APT29 também é conhecido pelos nomes Nobelium, SolarStorm, DarkHalo, NC2452 e outros. Acredita-se que os hackers tenham conexões com a Rússia.

O BoomBox é uma das quatro ferramentas de malware nunca antes vistas que o ATP29 usou na operação da USAID. Suas outras ferramentas ameaçadoras são o anexo HTML EnvyScout, o loader NativeZone e o shellcode VaporRage.

Detalhes sobre o BoomBox

O BoomBox é uma das cargas úteis de estágio intermediário na operação. Ele é entregue ao sistema infectado como um arquivo BOOM.exe oculto dentro de uma imagem ISO descartada pelo malware EnvyScout. A principal funcionalidade do BoomBox é buscar dois arquivos de malware criptografados para a máquina comprometida do DropBox. A ameaça irá então descriptografar e salvar os dois arquivos no sistema local como '% AppData% MicrosoftNativeCacheNativeCacheSvc.dll' e '% AppData% SystemCertificatesCertPKIProvider.dll.' A próxima etapa do BoomBox é executar os arquivos via rundll32.exe. Os arquivos entregues carregam as cargas úteis para as ameaças NativeZone e VaporRage.

Como atividade final, o BoomBox executará uma consulta LDAP em uma tentativa de coletar detalhes como nome da conta SAM, e-mail, nome distinto e nome de exibição de todos os usuários do domínio. Os dados coletados serão criptografados e enviados para um servidor remoto.