MagicWeb Malware

O MagicWeb Malware é outra ameaça potente observada como parte do arsenal ameaçador do grupo APT (Advanced Persistent Threat) patrocinado pelo estado, conhecido como APT29, NOBELLIUM e Cozy Bear. Acredita-se que a NOBELLIUM tenha vínculos com a Rússia e seus alvos típicos tenham sido o governo e outras organizações críticas da Europa, Ásia e Estados Unidos. O MagecWeb Malware permite que os invasores ocultem sua presença na rede da vítima. Detalhes sobre o malware e a forma como ele opera foram divulgados em um relatório da Microsoft.

De acordo com as descobertas dos pesquisadores da Microsoft, o MagicWeb representa uma evolução de uma ferramenta de malware previamente identificada conhecida como FoggyWeb. Os hackers podem usar a ameaça mais antiga para coletar os bancos de dados de configuração de servidores ADFS (Active Directory Federation Services) violados, descriptografar certificados escolhidos de assinatura/descriptografia de token ou buscar cargas adicionais do comando e controle da operação (C2, C&C ) e implantá-los em sistemas infectados.

Quando se trata especificamente do MagicWeb, a ameaça localiza e substitui uma DLL legítima ('Microsoft.IdentityServer.Diagnostics.dll') usada pelo ADFS por uma nova versão corrompida capaz de manipular os certificados de autenticação dos usuários. Em essência, os hackers do NOBELLIUM poderão validar a autenticação de qualquer conta de usuário no servidor, estabelecer persistência dentro da rede violada e ter muitas oportunidades de se espalhar ainda mais. Deve-se notar que, para funcionar corretamente, o MagicWeb exige que os cibercriminosos já possuam acesso de administrador ao servidor ADFS de destino. A Microsoft avisa que um desses casos já foi identificado.