IDAT Loader
Os pesquisadores de segurança cibernética descobriram uma campanha de ataque, identificada como uma ameaça a um Trojan ucraniano chamado Remcos RAT, facilitada por um carregador de malware conhecido como IDAT Loader. A Equipe de Resposta a Emergências Informáticas da Ucrânia (CERT-UA), rastreando o ator da ameaça como UAC-0184 (TA544), atribuiu o ataque.
O ataque, executado através do uso do IDAT Loader, incorpora a esteganografia como técnica. Embora as técnicas esteganográficas, ou 'Stego', sejam amplamente reconhecidas. As técnicas esteganográficas envolvem ocultar informações em outro meio, como ocultar dados em imagens, arquivos de áudio ou outros conteúdos digitais, para permitir a comunicação secreta sem atrair a atenção. É crucial compreender o seu papel na evasão das medidas de defesa.
Índice
O IDAT Loader Facilita a Entrega de Cargas de Malware de Próximo Estágio
O IDAT Loader, tendo semelhanças com outra família de carregadores chamada Hijack Loader, tem implantado ativamente várias cargas úteis, incluindo DanaBot, SystemBC e RedLine Stealer, ao longo de vários meses. Este carregador foi empregado por um agente de ameaça identificado como TA544 para disseminar o Remcos RAT e o SystemBC por meio de ataques de phishing.
A campanha de phishing, inicialmente divulgada pelo CERT-UA no início de janeiro de 2024, envolve a utilização de iscos com temática de guerra para iniciar uma cadeia de infeção. Em última análise, essa cadeia leva à implantação do IDAT Loader, que utiliza um PNG esteganográfico incorporado para localizar e extrair o Remcos RAT.
O Remcos RAT é Frequentemente Implantado em Campanhas Cibercriminosas
O REMCOS RAT é um Trojan de acesso remoto predominante, amplamente empregado em empreendimentos cibercriminosos e de espionagem. Reconhecido por sua capacidade de assumir o controle de computadores, o REMCOS pode coletar pressionamentos de teclas, áudio, vídeo, capturas de tela e dados do sistema, ao mesmo tempo que facilita a entrega de cargas adicionais de malware. Normalmente, esse malware é propagado por meio de e-mails de phishing contendo anexos ou links maliciosos, levando à instalação do RAT. Notavelmente, observou-se que REMCOS é distribuído por vários meios, incluindo carregadores de malware. O malware tem sido utilizado de forma maliciosa desde meados da década de 2010.
Após a execução bem-sucedida do REMCOS, os atores da ameaça obtêm recursos abrangentes de controle e vigilância sobre o sistema alvo. Isso lhes permite exfiltrar clandestinamente dados confidenciais por um longo período, evitando potencialmente a detecção. A utilização de tais informações confidenciais, dependendo do alvo, acarreta o risco de as vítimas enfrentarem chantagem, potencial perda de emprego se os dados da empresa forem comprometidos e roubo de dados organizacionais. Estes dados furtados poderiam então ser explorados para orquestrar ataques sofisticados e em grande escala, resultando em danos graves e possivelmente irreparáveis às organizações afetadas ou aos meios de subsistência dos indivíduos.
A Ucrânia Continua Sendo Alvo de Ataques Cibercriminosos por Grupos de Hackers Mancomunados com a Rússia
O CERT-UA também alertou sobre um ataque cibernético direcionado que visa infectar os sistemas informáticos utilizados pelas Forças Armadas da Ucrânia com o backdoor Cookbox.
De acordo com o CERT-UA, um indivíduo não identificado distribuiu um documento XLS denominado '1_ф_5.39-2024.xlsm' através do Signal messenger entre vários militares, alegando ter problemas com a formação de relatórios. O referido arquivo continha um script VBA adicional que acionou o download e a execução de um script PowerShell chamado ‘mob2002.data’.
O script do PowerShell baixado do GitHub faz algumas alterações no registro do sistema operacional. Mais especificamente, ele descarta uma carga codificada em base64 em 'HKEY_CURRENT_USER\SOFTWARE\Microsoft\XboxCache', que em última análise executa o malware Cookbox. Cookbox é um script do PowerShell que implementa funcionalidade para baixar e executar cmdlets do PowerShell.
Serviços DNS dinâmicos (como gotdns.ch, myftp.biz) e Cloudflare Workers são utilizados para a operação de servidores de comando e controle. A atividade descrita, rastreada como UAC-0149, está em curso pelo menos desde o outono de 2023, de acordo com os dados revelados pelos investigadores.
