Exaramel

A ferramenta de hackers Exaramel é uma ameaça, que foi vista recentemente em uma das campanhas do grupo de hackers TeleBots. Ao estudar a ameaça, os pesquisadores de malware observaram que o malware Exaramel é bastante semelhante a outra ferramenta de hackers no arsenal do grupo TeleBots chamado Industroyer. O grupo de hackers TeleBots tem sido muito ativo nos últimos anos e ganhou muitas manchetes com suas campanhas ameaçadoras. Sua operação mais famosa ocorreu em 2015 e envolveu-as, causando um apagão, que nunca havia sido alcançado com malware. O grupo TeleBots também é o responsável pelo infame Petya Ransomware, que atormentou a Web por um tempo. A ameaça bloquearia o MBR (Master Boot Record) do disco rígido no sistema de destino.

Entregue como uma Carga Útil Secundária

O malware Exaramel é um Trojan backdoor e é implantado como um malware de segundo estágio. Outra das ferramentas de hackers do grupo TeleBots ajuda a ameaça do Exaramel a ser entregue ao host, escondendo-o das medidas de segurança no computador. A carga útil do primeiro estágio, que ajuda o malware da Exaramel a comprometer o sistema, também identifica qualquer software ou ferramenta que possa estar vinculada à depuração de malware. Se os resultados do teste forem positivos, o ataque será interrompido. Isso tornará menos provável que os pesquisadores de malware ponham as mãos no backdoor do Exaramel e o dissecem. Se o ataque continuar, no entanto, os arquivos do backdoor do Exaramel serão injetados na pasta Windows. Em seguida, a ameaça garantirá que um novo serviço chamado 'wsmprovav' seja iniciado na inicialização do sistema. Este serviço é descrito como 'Windows Checked AV', que visa fazer com que pareça um serviço legítimo e não parte de uma operação maliciosa.

Recursos

A Chave do Registro do Windows armazena todas as configurações do malware Exaramel, o que não é uma técnica muito comum. O Trojan backdoor é informado sobre o caminho de armazenamento dos arquivos carregados, detalhes do proxy, dados sobre o servidor de C&C (Comando e Controle) e permite que a ameaça realize uma verificação básica na Web. O Trojan backdoor da Exaramel é capaz de:

• Executar scripts VBS.
• Gravar arquivos no sistema local.
• Executar software.
• Fazer o upload arquivos no caminho de armazenamento mencionado anteriormente.
• Executar comandos do shell.

O grupo de hackers TeleBots costumava usar o Trojan backdoor Exaramel em uníssono com as ferramentas de hackers CredRaptor e Mimikatz. Os autores do malware Exaramel também desenvolveram uma versão da ameaça escrita na linguagem de programação Go, que permite que a ferramenta de hackers atinja servidores e sistemas Linux.