Cotação de desconto para licenças múltiplas
Banco de Dados de Ameaças Malware GRAPELOADER Malware

GRAPELOADER Malware

Por Mezo em Malware, Ameaça Persistente Avançada (APT)
Traduzir Para:
Português

O grupo de hackers russo APT29, também conhecido como Cozy Bear ou Midnight Blizzard, apoiado pelo Estado, lançou uma nova campanha de phishing direcionada a entidades diplomáticas em toda a Europa. A campanha utiliza uma versão reformulada do WINELOADER Backdoor e um carregador de malware recém-descoberto, o GRAPELOADER. Os invasores usam iscas de e-mail convincentes para induzir os destinatários a executar um arquivo ZIP ameaçador disfarçado de convite para um evento de degustação de vinhos.

Conheça estes Malwares: GRAPELOADER e WINELOADER

Enquanto o WINELOADER atua como um backdoor modular nos estágios finais da infecção, o GRAPELOADER é a ferramenta preferida para o estágio inicial. O GRAPELOADER lida com:

  • Impressão digital do sistema
  • Persistência por meio de modificações no Registro do Windows
  • Entrega de carga útil para hosts infectados

Uma vez alcançada a persistência do GRAPELOADER, o malware entra em um loop infinito, acessando seu servidor de Comando e Controle (C2) a cada 60 segundos. Durante a comunicação inicial, ele coleta detalhes importantes do sistema, como Nome de Usuário, Nome do Computador, Nome do Processo e PID do Processo. Essas informações são agrupadas juntamente com uma string hexadecimal de 64 caracteres codificada — provavelmente servindo como um identificador de campanha ou versão — e transmitidas ao servidor C2 por meio de uma solicitação HTTPS POST.

Apesar de suas funções distintas, ambas as ferramentas compartilham estruturas de código semelhantes e empregam técnicas avançadas de ofuscação, incluindo criptografia de strings e resolução de API em tempo de execução. O GRAPELOADER é considerado um sucessor mais discreto do ROOTSAW, um antigo baixador de HTA.

Engano Tático: De Iscas para Degustação de Vinhos à Execução de Malware

Os e-mails de phishing, originados dos domínios bakenhof.com e silry.com, se passam por um Ministério das Relações Exteriores europeu e convidam os destinatários para um evento falso de degustação de vinhos. O arquivo ZIP anexado, wine.zip, contém três arquivos principais:

  • AppvIsvSubsystems64.dll – Uma dependência usada para carregamento lateral de DLL
  • wine.exe – Um executável legítimo do PowerPoint explorado para lançar malware
  • ppcore.dll – A DLL maliciosa (GRAPELOADER) lançada por meio de sideload

Uma vez executado, o malware garante persistência modificando o registro para executar wine.exe em cada inicialização do sistema.

Uma Rede Mais Ampla: Além das Fronteiras da Europa

A campanha tem como alvo principal os Ministérios das Relações Exteriores e embaixadas europeus. No entanto, evidências sugerem que diplomatas alocados no Oriente Médio também podem estar na mira. Pesquisadores observaram que o GRAPELOADER não apenas extrai dados do sistema para um servidor externo, mas também abre caminho para a instalação do WINELOADER como carga primária. Versões atualizadas do WINELOADER com carimbos de data/hora de compilação correspondentes surgiram, unindo ainda mais a família de malware.

Conclusão: O Papel do GRAPELOADER no Arsenal do APT29

Ao substituir ferramentas antigas pelo GRAPELOADER, o APT29 demonstra sua inovação contínua em espionagem cibernética. Esta campanha exemplifica como a engenharia social sofisticada, aliada ao design furtivo de malware, continua sendo uma estratégia potente para infiltrar alvos governamentais de alto valor.

Tendendo

Mais visto

Carregando...