CASHY200

CASHY200 é o nome dado pelos pesquisadores a uma ameaça de backdoor baseada no PowerShell. Este malware específico foi detectado devido à sua infraestrutura de comando e controle (C2, C&C) usando um domínio - 'windows64x.com', que foi observado como parte de uma campanha de ataque contra organizações do Kuwait dos setores de transporte e remessa anteriormente. O perfil dos alvos também parece ser basicamente o mesmo, mas desta vez as vítimas eram organizações governamentais do Kuwait. Embora as sobreposições pareçam ser muito específicas para serem acidentais, não é possível afirmar com 100% de certeza que os mesmos agentes de ameaça são também os hackers por trás do CASHY200.

O vetor de infecção usado para entregar o CASHY200 provavelmente são documentos do Word como arma, propagados por meio da disseminação de e-mails de phishing. Os documentos ameaçadores usavam vários nomes diferentes em árabe, enquanto um foi entregue como 'Atualizar lista soft-Ad.docm'.

Quando implantado no computador visado, o CASHY200 inicia a comunicação com seus servidores C2 por meio de túnel DNS. Mais especificamente, a ameaça emite consultas DNS A ao servidor do invasor. O tráfego de entrada é analisado com as respostas DNS para os comandos aplicáveis, enquanto os resultados subsequentes são devolvidos aos servidores novamente por meio de consultas DNS. Foi observado que CASHY200 usa modificadores gerados aleatoriamente e armazenados no Registro em HKCU\Software\Microsoft\Cashe\index.

As versões posteriores do CASHY200 são capazes de reconhecer dois comandos separados emitidos pelos servidores C2. O primeiro vê a ameaça executar o comando 'nome do host' e, em seguida, extrair o resultado. O outro comando possível diz ao CASHY200 para executar comandos obtidos de consultas DNS subsequentes, com os resultados mais uma vez sendo exfiltrados para o C2 por meio do tunelamento DNS.