M2RAT Malware
O grupo de ameaças APT37 é conhecido por usar táticas e técnicas sofisticadas para conduzir operações de espionagem cibernética em nome do governo norte-coreano. Este grupo é conhecido pelos pseudônimos 'RedEyes' ou 'ScarCruft'.
O grupo APT37 foi observado usando um novo malware evasivo chamado 'M2RAT' para direcionar indivíduos para coleta de informações. Esse malware usa esteganografia, que é a prática de ocultar informações em imagens digitais, para evitar a detecção por software de segurança. O uso de esteganografia pelo APT37 torna mais difícil para os analistas de segurança detectar e analisar seu malware, o que, por sua vez, torna mais desafiador prevenir ou mitigar seus ataques. Detalhes sobre o M2RAT e sua campanha ameaçadora foram divulgados em um relatório dos pesquisadores de segurança cibernética do AhnLab Security Emergency Response Center (ASEC).
Índice
A Cadeia de Infecção do M2RAT Malware
De acordo com a ASEC, a campanha ameaçadora do APT37 começou em janeiro de 2023, com os hackers lançando uma série de ataques cibernéticos que usavam anexos corrompidos para atingir as vítimas. Quando os anexos armados são executados, eles exploram uma antiga vulnerabilidade EPS (CVE-2017-8291) encontrada no processador de texto Hangul amplamente usado na Coreia do Sul. A exploração aciona um shellcode para ser executado no computador da vítima, que baixa um executável ruim armazenado em uma imagem JPEG. Este arquivo JPG é modificado pelos agentes de ameaça usando esteganografia, permitindo que o executável M2RAT ('lskdjfei.exe') seja injetado furtivamente no 'explorer.exe'. Para persistência no sistema, o malware adiciona um novo valor ('RyPO') à chave de registro 'Executar', que executa um script do PowerShell via 'cmd.exe'.
Os Recursos Ameaçadores do M2RAT Malware
O M2RAT Malware atua como um Trojan de acesso remoto com vários recursos nocivos, como keylogging, roubo de dados, execução de comandos e capturas de tela periódicas. Ele tem a capacidade de escanear dispositivos portáteis conectados a um computador com Windows, como smartphones ou tablets, e então copiar quaisquer documentos ou arquivos de gravação de voz encontrados no dispositivo para o PC infectado para que os invasores revisem.
Todos os dados coletados são compactados em um arquivo RAR protegido por senha antes de serem exfiltrados, e a cópia local dos dados é apagada da memória para garantir que não haja vestígios deixados para trás. Uma característica interessante do M2RAT é que ele usa uma seção de memória compartilhada para comunicação com seu servidor Command-and-Control (C2, C&C), exfiltração de dados e transferência direta dos dados coletados para o servidor C2, dificultando a segurança pesquisadores para analisar a memória dos dispositivos infectados.
Ao utilizar esses recursos, o M2RAT torna mais fácil para os invasores obter acesso e dar comandos ao sistema comprometido, além de coletar dados do dispositivo. Isso o torna uma ameaça potente da qual todos os usuários devem estar cientes.
M2RAT Malware Vídeo
Dica: Ligue o som e assistir o vídeo em modo de tela cheia.
