Crutch Malware

O Crutch Malware é uma ferramenta de malware de backdoor recentemente descoberta que faz parte das operações do grupo Turla APT (Advanced Persistent Threat). De acordo com os pesquisadores que analisaram a ameaça, o Crutch está em exploração desde 2015 até pelo menos o início de 2020. A ameaça foi descoberta espreitando dentro dos sistemas de computador de um Ministério das Relações Exteriores de um país que faz parte da Europa União. Exatamente como a maioria das ferramentas de malware do arsenal do Turla, o Crutch parece ser uma ameaça de malware customizada que é implantada apenas contra alvos selecionados.

Embora não tenha sido comprovado, o Crutch carrega os sinais de uma ameaça de malware pós-comprometimento. Isso significa que ele é entregue ao alvo após o vetor de compromisso inicial ter sido estabelecido com sucesso. Um cenário potencial que foi observado é a implantação do Crutch meses depois que o sistema-alvo foi infectado com um implante de primeiro estágio chamado SKipper. Outro método envolve o uso da estrutura PowerShell Empire.

O principal objetivo do Crutch Malware é realizar atividades de espionagem, coletando documentos confidenciais das máquinas infectadas, compactando-os e exfiltrando os arquivos para Turla. Durante seu ciclo de vida, o Crutch Malware viu seus recursos e rotinas operacionais passarem por mudanças severas, com várias versões diferentes da ameaça sendo criada pelos hackers. Por exemplo, nas versões iniciais, Crutch teve que receber comandos específicos de agentes Turla antes de executar qualquer uma de suas atividades ameaçadoras. A persistência foi alcançada por meio do sequestro de DLL no Chrome, Firefox ou OneDrive. Durante este período, Cruch incluiu um segundo binário que era responsável por monitorar qualquer mídia removível para tipos de arquivos que representassem um interesse particular para os hackers, incluindo documentos do MS Word, PDFs, RTFs, etc.

Na versão 4 da ameaça, ou o que os pesquisadores acreditam ser a quarta versão, Crutch perdeu sua capacidade de executar qualquer comando backdoor. Em vez disso, as atividades da ameaça foram totalmente automatizadas. Ele agora pode exfiltrar independentemente arquivos de interesse encontrados em unidades locais e removíveis, explorando a versão do utilitário Wget para Windows.

Um aspecto que sempre fez parte do Crutch Malware é o destino dos arquivos roubados. Por meio das diferentes versões, todos os dados coletados foram entregues às contas de armazenamento do Dropbox sob o controle dos hackers Turla. O uso de serviços legítimos, o Dropbox, neste caso, ajuda os hackers a evitarem mais facilmente a detecção, combinando o tráfego anormal criado por suas ferramentas com as atividades usuais de rede da vítima.