IMAPLoader Malware

O grupo de ameaças cibernéticas Tortoiseshell, ligado ao Irão, tem sido associado a um recente aumento de ataques watering hole. Esses ataques visam liberar uma variedade de malware conhecida como IMAPLoader.

O IMAPLoader, classificado como malware .NET, possui a capacidade de criar perfis de sistemas alvo por meio de ferramentas nativas do Windows. Sua função principal é servir como um downloader para cargas maliciosas adicionais. O malware emprega e-mail como um canal de comando e controle (C2, C&C), permitindo executar cargas recuperadas de anexos de e-mail. Além disso, inicia a execução através da implantação de novos serviços.

O Tortoiseshell é um Autor de Ameaças Associado a Inúmeras Campanhas de Ataque

Em operação desde pelo menos 2018, o Tortoiseshell tem um histórico de emprego de comprometimentos estratégicos de sites para facilitar a distribuição de malware. No início de 2023, os investigadores identificaram o grupo como responsável pela violação de oito sites ligados a empresas de transporte marítimo, logística e serviços financeiros em Israel.

Este ator ameaçador está associado ao Corpo da Guarda Revolucionária Islâmica (IRGC). Ele é reconhecido pela comunidade mais ampla de segurança cibernética por vários nomes, incluindo Crimson Sandstorm (anteriormente Curium), Imperial Kitten, TA456 e Yellow Liderc.

Na recente onda de ataques que durou de 2022 a 2023, o grupo utilizou a tática de incorporar JavaScript ameaçador em sites legítimos comprometidos. Esta abordagem teve como objetivo recolher informações detalhadas sobre os visitantes, abrangendo a sua localização, detalhes do dispositivo e o momento das suas visitas.

Os alvos específicos destas intrusões foram os sectores marítimo, marítimo e logístico na região do Mediterrâneo. Em certos casos, esses ataques levaram à implantação do IMAPLoader como carga útil subsequente, especialmente quando a vítima era considerada um alvo de alto valor.

O IMAPLoader Malware é um Componente Essencial em uma Cadeia de Ataques em Vários Estágios

Diz-se que o IMAPLoader é um substituto para um implante IMAP baseado em Python, Tortoiseshell, usado anteriormente no final de 2021 e início de 2022, devido às semelhanças na funcionalidade. O malware atua como um downloader para cargas úteis do próximo estágio, consultando contas de e-mail IMAP codificadas, verificando especificamente uma pasta de caixa de correio escrita incorretamente como 'Recive' para recuperar os executáveis dos anexos da mensagem.

Em uma cadeia de ataque alternativa, um documento isca do Microsoft Excel é usado como vetor inicial para iniciar um processo de vários estágios para entregar e executar o IMAPLoader, indicando que o ator da ameaça está usando inúmeras táticas e técnicas para atingir seus objetivos estratégicos.

Os pesquisadores também descobriram sites de phishing criados pela Tortoiseshell, alguns dos quais direcionados aos setores de viagens e hotelaria na Europa, para realizar a coleta de credenciais usando páginas falsas de login da Microsoft.

Este actor ameaçador continua a ser uma ameaça activa e persistente para muitas indústrias e países, incluindo os sectores marítimo, marítimo e logístico no Mediterrâneo; indústrias nuclear, aeroespacial e de defesa nos EUA e na Europa e prestadores de serviços geridos por TI no Médio Oriente. Estas atualizações incluem frequentemente soluções cruciais para vulnerabilidades que podem ser exploradas por cibercriminosos. Validar atualizações automáticas é uma maneira conveniente de garantir que seu dispositivo esteja protegido contra ameaças emergentes.