Threat Database Malware KamiKakaBot

KamiKakaBot

Uma nova onda de ataques cibernéticos foi detectada, visando organizações governamentais e militares em países do Sudeste Asiático. Esses ataques são atribuídos ao grupo Dark Pink APTAdvanced Persistent Threat (Ameaça Persistente Avançada), também conhecido como Saaiwc. Entre as ferramentas personalizadas usadas pelo Dark Pink estão o TelePowerBot e o KamiKakaBot, que permitem ao grupo executar comandos arbitrários e roubar dados confidenciais dos dispositivos infectados.

Acredita-se que o Dark Pink seja originário da região da Ásia-Pacífico e esteja ativo desde pelo menos meados de 2021. No entanto, suas atividades aumentaram em 2022 e 2023, como evidenciado pelos recentes ataques a entidades governamentais e militares no Sudeste Asiático. O uso de malware sofisticado, como o KamiKakaBot, ressalta as capacidades e a determinação do grupo para alcançar seus objetivos. Esses ataques representam uma séria ameaça à segurança nacional e destacam a necessidade de maior vigilância e medidas proativas para mitigar o risco de ataques cibernéticos.

Os Hackers Usam Táticas de Phishing e Documentos Falsos

De acordo com um relatório recente da empresa holandesa de segurança cibernética EclecticIQ, uma nova onda de ataques foi descoberta em fevereiro de 2023 que se assemelhava a ataques anteriores. No entanto, houve uma diferença significativa nesta campanha - a rotina de ofuscação do malware foi aprimorada para evitar melhor a detecção por medidas antimalware.

Os ataques seguem uma estratégia de engenharia social que envolve o envio de mensagens de e-mail contendo anexos de arquivos de imagem ISO para alvos inocentes. O arquivo de imagem ISO contém três componentes: um executável (Winword.exe), um carregador (MSVCR100.dll) e um documento dissimulado do Microsoft Word. O documento do Word é uma distração, enquanto o carregador é responsável por carregar o malware KamiKakaBot.

Para evitar as proteções de segurança, o carregador usa o método de carregamento lateral da DLL para carregar o KamiKakaBot na memória do binário Winword.exe. Esse método permite que o malware ignore as medidas de segurança que, de outra forma, impediriam sua execução.

KamiKakaBot Pode Roubar Informações Confidenciais dos Dispositivos Violados

KamiKakaBot é um programa de software malicioso projetado para se infiltrar em navegadores da web e roubar dados confidenciais. Este malware também é capaz de executar código remoto usando o prompt de comando (cmd.exe). Para evitar a detecção, o malware incorpora técnicas sofisticadas para se misturar com o ambiente da vítima e evitar a detecção.

Depois que um host é comprometido, o malware estabelece persistência abusando da biblioteca Winlogon Helper para fazer modificações maliciosas na chave do Registro do Windows. Isso permite que o malware permaneça sem ser detectado e continue realizando suas atividades maliciosas. Os dados roubados são enviados para um bot do Telegram como um arquivo ZIP.

De acordo com especialistas em segurança cibernética, o uso de serviços da Web legítimos, como o Telegram, como um servidor de comando e controle (C2, C&C) é uma tática comum usada por agentes de ameaças. Essa abordagem torna mais difícil detectar e encerrar o malware, pois o tráfego parece ser uma comunicação legítima com o serviço da web. Essas táticas são empregadas não apenas por cibercriminosos comuns, mas também por agentes avançados de ameaças persistentes.

Dada a crescente sofisticação desses ataques, é fundamental que as organizações tomem medidas proativas para evitar ataques cibernéticos. Isso inclui a implementação de medidas de segurança robustas para proteger contra malware, manter o software atualizado e educar os funcionários sobre como identificar e evitar ataques de phishing.

Tendendo

Mais visto

Carregando...