Foudre Malware

O Foudre Malware é uma ferramenta ameaçadora escrita em Delphi. O Malware Foudre faz parte do arsenal do que se acredita ser um ator APT (Advanced Persistent Threat) apoiado pelo Irã chamado Infy. As evidências sugerem que esse grupo de hackers está ativo desde pelo menos 2007. Os cibercriminosos realizaram operações ativas durante anos, até que uma tentativa de derrubada por pesquisadores da Infosec os obrigou a ficarem inativos.

Agora, uma nova campanha de ataque atribuída a Infy foi descoberta. A operação já se arrasta há vários anos e emprega novas ferramentas de malware, bem como técnicas. Parece que os hackers do Infy estão tentando se manter discretos em suas atividades. O grupo de entidades-alvo parece consistente com seus empreendimentos anteriores, com a exclusão notável de quaisquer vítimas iranianas.

Uma das novas armas empregadas pelos hackers é o Foudre Malware. O Foudre Malware atua como uma carga útil de estágio intermediário com a tarefa de entregar a ameaça de malware final aos sistemas comprometidos. O Malware Foudre infecta seus alvos escondendo-se dentro de documentos projetados para atrair as vítimas para abri-los. Os documentos ameaçadores são geralmente escritos em persa, com duas amostras observadas falando sobre o governador da cidade de Dorud na província de Lorestan, Irã, ou fingindo ter sido enviado pela ISAAR, a Fundação para Assuntos de Mártires e Veteranos patrocinada pelo governo iraniano. A agência ISAAR oferece empréstimos aos veteranos deficientes do país e suas famílias.

Quando a vítima abre o documento de isca, ele dispara uma macro ameaçadora que deixa um arquivo autoextraível no diretório temporário do computador como fwupdate.temp. Deve-se destacar que a macro é executada quando a vítima fecha o documento. Quando o Foudre é implantado, ele tenta estabelecer uma conexão com seu servidor de comando e controle (C2, C&C). Foudre autentica o servidor C2 baixando um arquivo de assinatura. Após a verificação bem-sucedida, o malware verifica se há atualizações disponíveis, tentando baixar um segundo arquivo de assinatura. Por fim, ele descarta a carga útil do estágio final - uma ameaça de malware chamada Malware Tonnerre .

Durante o período dessa última explosão de atividade dos hackers Infy, os pesquisadores da infosec conseguiram observar várias versões diferentes do Malware Foudre sendo implantadas. Embora, na maioria das vezes, essas versões incluam apenas pequenas modificações técnicas, como nomes de janelas diferentes, nomes de funções de exportação e strings, as versões mais recentes contêm algumas melhorias importantes.

O Foudre Malware foi equipado com um algoritmo de geração de domínio atualizado que pode tornar a detecção da ameaça um pouco mais difícil se os fornecedores de segurança tentarem detectá-la usando o DGA previamente descoberto. Para se proteger melhor de tentativas de derrubada, a Infy agora inclui em suas ferramentas de malware uma rotina de verificação C2 RSA.