Menorah Malware

Operadores avançados do crime cibernético com ligações ao Irã rastreados sob o pseudónimo 'OilRig', têm levado a cabo uma operação de spear-phishing direcionada que implementa uma nova variante de um software ameaçador conhecido como Menorah. Este malware específico foi criado com o propósito explícito de espionagem cibernética. Possui a capacidade de verificar as especificações de um computador comprometido, acessar e transmitir arquivos desse sistema e baixar arquivos adicionais ou malware.

A demografia precisa das vítimas permanece incerta neste momento. No entanto, a presença de tácticas enganosas sugere fortemente que pelo menos um dos alvos principais provém de uma organização situada dentro das fronteiras da Arábia Saudita.

O Menorah Malware é Entregue por Meio de Documentos Enganadores

O ataque de phishing da OilRig resulta na implantação de uma variante atualizada do malware SideTwist, implicando esforços contínuos de desenvolvimento. Na sequência mais recente de infecções, um documento de isca é empregado para criar uma tarefa agendada para persistência de longo prazo, ao mesmo tempo em que descarta um arquivo executável chamado 'Menorah.exe'. Este executável, por sua vez, estabelece comunicação com um servidor remoto, aguardando novas orientações. É importante notar que o servidor de comando e controle está atualmente inativo.

Também conhecida por pseudônimos como APT34, Cobalt Gypsy, Hazel Sandstorm e Helix Kitten, a OilRig se destaca como uma entidade iraniana de Ameaça Persistente Avançada (APT) com foco especializado em esforços clandestinos de coleta de inteligência, infiltrando-se meticulosamente e sustentando o acesso em redes designadas.

Detalhes Importantes sobre o Menorah Malware Mostram Suas Semelhanças com Outra Ameaça de Malware

O malware, escrito em .NET e entregue através do documento ameaçador, serve principalmente ao propósito de espionagem cibernética e possui uma ampla gama de capacidades. Este software inseguro é capaz de identificar as características específicas do computador alvo, listando diretórios e arquivos, carregando seletivamente arquivos do sistema comprometido, executando comandos shell e baixando arquivos na máquina comprometida.

Ao realizar uma análise minuciosa comparando o malware SideTwist com o Menorah, os pesquisadores discerniram semelhanças substanciais entre os dois, especialmente em termos de funcionalidade. Essas variantes de malware exibem funcionalidades de backdoor semelhantes para executar comandos shell e facilitar uploads e downloads de arquivos.

No entanto, em contraste com a versão anterior do SideTwist, esta nova ameaça incorpora recursos adicionais para ofuscar o tráfego para o servidor de comando e controle (C&C), melhorando sua furtividade para evitar a detecção. Inicialmente, o malware verifica um argumento específico durante a execução para garantir o fluxo de execução adequado. Na ausência do argumento especificado, o malware será encerrado, interrompendo suas operações. Essa verificação de rotina serve para manter o comportamento secreto do malware e identifica se ele está operando em um ambiente analítico, como uma sandbox. Se o argumento indicar que está sendo executado em uma sandbox, o malware prosseguirá sem o argumento, mas, em última análise, será encerrado automaticamente.

Posteriormente, o malware faz a impressão digital da máquina infectada, coletando informações como o nome da máquina e o nome de usuário. Essa impressão digital é então transmitida ao servidor C&C na forma de conteúdo em uma solicitação HTTP.