FadeStealer

O grupo de hackers APT37, também conhecido como StarCruft, Reaper ou RedEyes, foi recentemente observado usando um malware recém-descoberto para roubo de informações chamado FadeStealer. Esse malware sofisticado incorpora um recurso de 'escuta telefônica', permitindo que os invasores interceptem e gravem o áudio dos microfones das vítimas secretamente.

Acredita-se que o APT37 seja um grupo de hackers patrocinado pelo Estado com um histórico significativo de condução de operações de ciberespionagem alinhadas com os interesses da Coreia do Norte. Seus alvos incluem desertores norte-coreanos, instituições educacionais e organizações baseadas na União Europeia.

Em campanhas anteriores, esse grupo empregou malware personalizado, como 'Dolphin' e 'M2RAT', para realizar seus ataques cibernéticos. Essas ferramentas ameaçadoras foram projetadas especificamente para se infiltrar em dispositivos Windows, incluindo telefones celulares conectados, e facilitar várias atividades maliciosas, como execução de comandos, roubo de dados, coleta de credenciais e captura de tela.

Um Malware Backdoor Personalizado Entrega a Ameaça FadeStealer

Pesquisadores de segurança descobriram recentemente detalhes sobre outro malware personalizado usado em ataques pelo APT37, conhecido como backdoor AblyGo. Juntamente com o FadeStealer, essas ferramentas indesejadas são projetadas para se infiltrar nos sistemas direcionados e facilitar várias atividades prejudiciais.

O método de entrega inicial desse malware envolve e-mails de phishing que contêm arquivos anexados. Esses arquivos consistem em documentos Word e Hangul Word protegidos por senha (arquivos .docx e .hwp), juntamente com um arquivo Windows CHM 'password.chm'. É muito provável que os e-mails de phishing instruam os destinatários a abrir o arquivo CHM para obter a senha necessária para desbloquear os documentos. No entanto, sem o conhecimento das vítimas, essa ação desencadeia o processo de infecção em seus dispositivos Windows.

Ao abrir o arquivo CHM, um prompt enganoso exibirá a suposta senha para desbloquear os documentos. Simultaneamente, o arquivo baixa e executa discretamente um script remoto do PowerShell, que funciona como um backdoor com funcionalidade avançada. Esse backdoor do PowerShell estabelece comunicação com os servidores de comando e controle (C2) dos invasores, permitindo que eles executem comandos remotamente no sistema comprometido.

Além disso, o backdoor facilita a implantação de um backdoor adicional conhecido como 'AblyGo backdoor' durante os estágios posteriores do ataque. Esse novo backdoor aproveita a Ably Platform, um serviço de API que os desenvolvedores utilizam para incorporar recursos em tempo real e entrega de informações em seus aplicativos. Ao utilizar a Ably Platform como uma plataforma C2, os agentes de ameaças podem enviar comandos codificados em base64 para o backdoor para execução e receber a saída. Essa abordagem permite que eles ofusquem suas atividades maliciosas no tráfego de rede legítimo, tornando mais difícil detectar e monitorar suas operações.

O 'AblyGo backdoor' desempenha um papel crucial na campanha de espionagem cibernética, permitindo que os agentes de ameaças conduzam o escalonamento de privilégios, exfiltrem dados confidenciais e forneçam componentes de malware adicionais. Ao utilizar plataformas legítimas como Ably, os agentes de ameaças visam escapar do monitoramento de rede e do software de segurança, aumentando assim a eficácia de seus ataques.

Os Recursos Ameaçadores Encontrados na Ameaça FadeStealer

Os backdoors finalmente entregam o FadeStealer como uma carga final. A ameaça é um malware de roubo de informações altamente potente, projetado especificamente para dispositivos Windows. Uma vez instalado, o FadeStealer emprega uma técnica chamada DLL sideloading para se injetar no processo legítimo 'ieinstall.exe' do Internet Explorer, camuflando efetivamente sua presença.

O FadeStealer opera furtivamente em segundo plano, coletando discretamente uma ampla gama de informações confidenciais do dispositivo comprometido. Em intervalos regulares de 30 minutos, o malware captura capturas de tela da tela da vítima, registra as teclas digitadas e reúne arquivos de qualquer smartphone ou dispositivo removível conectado. Além disso, o FadeStealer possui a capacidade de gravar áudio através do microfone do dispositivo, permitindo que os invasores por trás do ataque escutem as conversas e obtenham informações adicionais.

Os dados coletados são armazenados em pastas %Temp% específicas, cada uma atendendo a uma finalidade distinta no processo de exfiltração de dados. As capturas de tela feitas pelo malware são armazenadas na pasta %temp%\VSTelems_Fade\NgenPdbc, enquanto as teclas registradas são armazenadas em %temp%\VSTelems_Fade\NgenPdbk. A pasta %temp%\VSTelems_Fade\NgenPdbm é dedicada ao armazenamento de dados obtidos por meio de grampos de microfone. Além disso, a pasta %temp%\VSTelems_FadeIn é utilizada para coletar dados de smartphones conectados, enquanto a pasta %temp%\VSTelems_FadeOut serve como local de armazenamento para dados coletados de dispositivos de mídia removíveis. Essas pastas específicas garantem que os dados coletados sejam organizados e acessíveis aos agentes de ameaças que orquestram a campanha de espionagem cibernética.

Para manter a eficiência e facilitar o armazenamento de dados, o FadeStealer coleta as informações roubadas em arquivos RAR. Isso permite que o malware comprima e organize os dados roubados, garantindo que permaneçam ocultos e facilmente transportáveis para posterior exfiltração pelos agentes da ameaça.