Karkoff
O Karkoff é uma ferramenta ameaçadora que pode ser usada para realizar vários ataques de malware. O Karkoff foi desenvolvido por um grupo APT (Ameaça Persistente Avançada) que criou uma ameaça conhecida como DNSpionage em novembro de 2018. O Karkoff parece ser o acompanhamento desse produto e foi observado pela primeira vez em fevereiro de 2019. O Karkoff está sendo entregue às vítimas por corrupção Documentos do Microsoft Excel com scripts de macro incorporados, um método de entrega que é ligeiramente diferente das táticas de entrega usadas para distribuir o DNSpionage para as suas vítimas. O principal objetivo do Karkoff é explorar o computador e a rede da vítima para implantar um ataque de acompanhamento. Por esse motivo, o Karkoff costuma ser usado como parte de um ataque maior, que envolve várias etapas e outros componentes de malware, e pode fazer parte de uma operação sofisticada que pode envolver atores patrocinados pelo Estado.
Índice
O Karkoff Usa um Método Eficaz de Anti-Detecção
O ataque inicial do Karkoff é entregue às vítimas principalmente por meio de anexos de e-mail de phishing corrompidos. Os criminosos criam emails que parecem altamente realistas como se fossem de dentro de uma empresa. Esses e-mails incluirão um arquivo de planilha anexado que usa scripts de macro incorporados para baixar e instalar o Karkoff no computador da vítima. O Karkoff é instalado no diretório msdonedrive no computador infectado e carregado como 'taskwin32.exe'. Karkoff obtém persistência alterando as configurações da vítima com uma tarefa agendada rotulada como um atualizador para o Microsoft OneDrive. Quando o Karkoff inicia, ele se conecta ao servidor de Comando e Controle. O objetivo do Karkoff é entregar um log com informações sobre o computador infectado. Algumas das informações contidas no email da Karkoff incluem a versão e a arquitetura do sistema operacional, o domínio associado ao dispositivo ou rede infectada e uma lista de processos de memória em execução. Karkoff pode permanecer inativo por longos períodos para impedir que a vítima detecte sua presença e pode executar uma variedade de comandos no dispositivo infectado.
Detalhes Adicionais Associados ao Ataque do Karkoff
O DNSpionage, a primeira ameaça de malware criada por esse grupo APT, usou uma sofisticada rede de distribuição. Esse não é o caso do Karkoff, que parece usar domínios de baixa qualidade que podem ser bloqueados ou interceptados pelo software de segurança facilmente. Karkoff usará DNS e HTTPS para conectar-se ao domínio 'coldfart[dot]com', um domínio que deixa claro que não é legítimo ao realizar uma verificação de segurança das conexões de rede imediatamente. Além desses domínios de baixa qualidade, os invasores responsáveis pelo Karkoff usam fortes recursos de ofuscação e podem monitorar conexões e módulos de rede para realizar um ataque eficaz.
Lidando com o Trojan Karkoff
Um programa de segurança adequado e totalmente atualizado pode ajudar os usuários e administradores de servidores a detectar e remover o Karkoff de um computador. O software de segurança do PC pode detectar o Karkoff com um dos seguintes nomes de detecção:
Artemis!5733AFE71BD0
DFI - Suspicious PE
Gen:Variant.Razy.477295
MSIL/Agent.BWH!tr
Malicious.55fcbe
TROJ_GEN.R002C0PD519
Trojan ( 0054a3bc1 )
Trojan.Agent!WbxuvxvWkUQ
Trojan:MSIL/Generic.8c7d41c0
Win32/Trojan.89a
Como o Karkoff e ameaças semelhantes são distribuídas principalmente por anexos de email corrompidos, educar os usuários de computador sobre o manuseio correto de emails é a melhor proteção contra ameaças como o Karkoff. Recomenda-se que os usuários de computador suspeitem de quaisquer mensagens de email não solicitadas, mesmo que pareçam vir de dentro de uma empresa ou organização. Além disso, emails com anexos de email ou links incorporados devem ser tratados com suspeita adicional e examinados minuciosamente com um programa de segurança confiável e confirmando seu conteúdo com o remetente antes de serem abertos. Esses anexos de arquivo exibirão uma planilha aparentemente legítima, mas o script de macro incorporado instalará o Karkoff em segundo plano sem o conhecimento do usuário do computador.
