KingOfHearts

O KingOfHearts é um backdoor escrito em C ++ que faz parte de um conjunto de ferramentas sofisticado sem nome do agente de ameaças. Observou-se que o mesmo grupo de hackers está usando três famílias de malware diferentes em suas operações. Uma dessas famílias chamada SlothfulMedia foi o assunto de um relatório publicado pela agência CISA do Departamento de Segurança Interna.

Em seu núcleo, o KingOfHearts é equipado com todas as funções básicas esperadas de uma ameaça de backdoor sem nada muito sofisticado. Ele tem um utilitário personalizado para capturar imagens, no entanto. Além disso, pode executar comandos no computador comprometido, acessar a lista de processos em execução com a opção de encerrar qualquer um deles, além de possuir recursos de manipulação do sistema de arquivos.

O KingOfHearts é provavelmente distribuído por meio de ataques de phishing de e-mail com anexos envenenados de documentos do Word. Depois de executados, esses documentos iniciam um script do PowerShell com a tarefa de baixar uma imagem carregando uma carga útil de malware codificado em base 64. O KingOfHearts foi observado como sendo descartado como um arquivo '.exe' ou '.dll'. A comunicação com a infraestrutura de Comando e Controle (C2, C&C) é estabelecida por meio de HTTP(S).

De acordo com os pesquisadores que o analisaram, o KingOfHearts está equipado com funcionalidades de anti-depuração e detecção de virtualização.