Malware ShellClient

Malware ShellClient

Os pesquisadores de Infosec descobriram um novo malware de espionagem que faz parte do kit de ferramentas de um agente de ameaça não revelado anteriormente. Chamado ShellClient, a ameaça é um Trojan de Acesso rRmoto (RAT) que parece ser implantado apenas em operações de espionagem cibernética altamente direcionadas.

Novo Autor de Ameaças

O malware ShellClient está sendo atribuído a um grupo de crimes cibernéticos separado que está sendo rastreado como MalKamak. Acredita-se que os hackers sejam responsáveis por uma série de ataques de reconhecimento direcionados contra alvos de uma grande variedade de países, incluindo os EUA, Rússia, membros da UE e países do Oriente Médio. O objetivo dos hackers parece ser a aquisição de informações altamente confidenciais de um punhado de alvos especificamente escolhidos. Certas sobreposições de código, convenções de nomenclatura e técnicas empregadas apontam para que MalKamak seja um grupo de ciber-crime de estado-nação com conexões com o Irã.

Funcionalidade e Evolução Ameaçadoras

O malware ShellClient foi projetado para ser especialmente furtivo, garantindo uma presença prolongada nas máquinas comprometidas. A ameaça se disfarça como 'RuntimeBroker.exe.' O processo legítimo é responsável pelo gerenciamento de permissões para aplicativos da Microsoft Store.

As primeiras versões do malware datam de 2018, mas, naquela época, o ShellClient era uma ameaça muito diferente - apenas um shell reverso autônomo simples. Nos anos seguintes, os hackers do MalKamak lançaram várias versões do malware, transformando-o cada vez mais em um RAT completo a cada um subsequente. Por exemplo, a iteração 4.0 incluiu melhor ofuscação de código, o uso do empacotador Costura, a remoção do domínio C2 usado desde 2018 e a adição de um cliente Dropbox. Se o desenvolvimento da ameaça atingiu um ponto final, resta ver.

Tendendo

Mais visto

Carregando...