Cotação de desconto para licenças múltiplas
Banco de Dados de Ameaças Ferramentas de Administração Remota Campanha de malware de carga dupla

Campanha de malware de carga dupla

Por Mezo em Ferramentas de Administração Remota, Adware
Traduzir Para:

Uma campanha de malware recém-descoberta está atraindo muita atenção da comunidade de segurança cibernética devido à sua capacidade de implantar duas ameaças distintas simultaneamente. Um único carregador ofuscado é usado para distribuir tanto o Gh0st RAT quanto o CloverPlus no mesmo sistema comprometido.

Essa combinação é incomum e altamente estratégica. O Gh0st RAT permite o controle remoto total da máquina infectada, enquanto o CloverPlus se concentra em manipular a atividade do navegador, injetar componentes de publicidade e gerar receita por meio de pop-ups intrusivos. A implantação dupla permite que os agentes de ameaças mantenham acesso não autorizado persistente enquanto monetizam a infecção em tempo real.

Esta campanha destaca uma tendência crescente de entrega de múltiplas cargas úteis, onde os atacantes maximizam a eficiência operacional e o retorno financeiro a partir de uma única invasão.

Táticas de Ofuscação: Ocultando a Carga Útil

O carregador central desta campanha foi projetado para ser furtivo. Ele incorpora duas cargas úteis criptografadas em sua seção de recursos, usando técnicas de ofuscação para evitar os mecanismos de detecção tradicionais.

A execução começa com o módulo de adware CloverPlus, identificado como AdWare.Win32.CloverPlus e associado a um executável chamado wiseman.exe. Este componente modifica as configurações de inicialização do navegador e injeta anúncios pop-up persistentes.

Em seguida, o carregador avalia seu caminho de execução. Se não estiver operando a partir do diretório %temp% do sistema, ele cria uma cópia de si mesmo lá antes de prosseguir. A próxima etapa envolve a descriptografia do módulo cliente do RAT Gh0st, que também está oculto como um recurso criptografado dentro do binário do malware.

Uma vez descriptografado, o malware atribui um nome de arquivo aleatório à carga útil e a armazena em uma pasta com nome aleatório localizada na raiz da unidade C:\, o que complica ainda mais a detecção e a análise.

Vivendo da terra: ferramentas confiáveis, intenções maliciosas.

Para executar o código malicioso descriptografado, o malware utiliza o utilitário legítimo do Windows, rundll32.exe. Essa abordagem permite a execução de código malicioso sob o disfarce de um processo de sistema confiável, reduzindo significativamente a probabilidade de acionamento das defesas de segurança.

Uma vez ativo, o Gh0st RAT começa a traçar o perfil do sistema comprometido, coletando identificadores únicos, como o endereço MAC e o número de série do disco rígido. Esses dados são usados para registrar a vítima na infraestrutura de comando e controle do atacante, garantindo o rastreamento e gerenciamento precisos dos hosts infectados.

Mecanismos de Persistência: Garantindo o Acesso a Longo Prazo

Manter o acesso após reinicializações do sistema é um objetivo fundamental desta campanha. O Gh0st RAT garante a persistência por meio de múltiplas técnicas incorporadas profundamente no sistema operacional:

Modificação da chave de registro "Executar" do Windows para garantir a execução automática na inicialização.
Registro de uma DLL maliciosa no caminho do serviço de Acesso Remoto em SYSTEM\CurrentControlSet\Services\RemoteAccess\RouterManagers\Ip

Esses métodos concedem ao malware privilégios de nível de SISTEMA sempre que o serviço associado é iniciado, eliminando a necessidade de interação adicional do usuário e reforçando o controle a longo prazo.

Detecção e Defesa: Indicadores de Comprometimento

O impacto desta campanha é considerável tanto para indivíduos quanto para organizações. Enquanto o componente de adware interrompe a funcionalidade do navegador e aumenta a exposição a publicidade maliciosa, o componente RAT permite roubo de dados, registro de teclas digitadas, evasão de segurança e acesso privilegiado persistente.

As equipes de segurança devem permanecer vigilantes e monitorar os seguintes indicadores de comprometimento:

  • A execução do rundll32.exe carrega DLLs ou extensões de arquivo não padrão de diretórios incomuns ou suspeitos.
  • Atividade de processo originada da pasta %temp%
  • Modificações não autorizadas nas chaves de execução do registro ou nas configurações do serviço Acesso Remoto.
  • Utilização de atrasos baseados em ping para burlar a detecção em sandbox.
  • Padrões anormais de tráfego DNS e alterações inesperadas no arquivo hosts do sistema.

O monitoramento proativo e a resposta rápida a esses sinais são cruciais para mitigar os riscos representados por essa sofisticada campanha de malware de dupla ameaça.

Tendendo

Mais visto

Carregando...