MINEBRIDGE RAT

Os ataques contra pesquisadores de segurança parecem estar crescendo em popularidade entre os cibercriminosos. Um grupo de ameaça que se acredita ter começado a conduzir tais ataques é o TA505. As evidências apontam que o TA505 está ativo pelo menos desde 2014. O grupo é conhecido por alavancar o MINEBRIDGE RAT nas suas operações.

A campanha mais recente emprega uma cadeia de ataque em vários estágios que, em última análise, implanta o MINEBRIDGE RAT no sistema de computador visado. Os hackers atraem suas vítimas com currículos de empregos (CVs) falsos na forma de documentos do Word baseados em macro. Quando executado, o arquivo malicioso exibe uma mensagem de confirmação - 'Arquivo convertido com êxito de PDF' e mostra um currículo de trabalho que supostamente foi enviado por um analista de inteligência de ameaças. Entretanto, isso é apenas um engodo, projetado para desviar a atenção da vítima do código de macro subjacente que constrói uma linha de comando em segundo plano capaz de buscar conteúdo codificado de um endereço IP especificado. O arquivo de extração automática (SFX) baixado será colocado na pasta% appdata% do usuário.

Um Ataque Complexo de Multi-Estágios Fornece o MINEBRIDGE RAT

O arquivo SFX representa o primeiro estágio da cadeia de ataque MINEBRIDGE RAT. Ele é executado por meio do certutil.exe e resulta em binários legítimos do TeamViewer, vários arquivos DLL e arquivos de documentos adicionais sendo inseridos no sistema comprometido. Um dos binários fornecidos, denominado 'defrender.exe', é responsável por iniciar o próximo estágio do ataque. Deve-se observar que o binário foi projetado para aparecer como um binário legítimo do Windows Defender.

O estágio 2 do ataque inclui a execução do aplicativo TeamViewer que é então forçado a conduzir o carregamento lateral de DLL. Ele carrega o arquivo msi.dll fornecido que, por sua vez, descompacta o shellcode e o executa. O shellcode tem a tarefa de entregar o binário compactado em UPX da carga útil final - RATO MINEBRIDGE.

Quando totalmente implantada, a ameaça permite que os invasores executem uma ampla gama de atividades maliciosas. Eles podem espionar os usuários comprometidos, bem como implantar cargas de malware adicionais. MINEBRIDGE RAT cria três ameaças separadas, cada uma com uma responsabilidade diferente:

Estabelecer comunicação C&C e implantar o mecanismo de persistência
Verificar o status de inatividade do sistema monitorando o tempo da última entrada
Evitar pop-ups de notificação acidentais encerrando o processo ShowNotificationDialog

O mecanismo de persistência da ameaça é obtido por meio de um arquivo LNK chamado 'Windows Logon.lnk', que é colocado no diretório de inicialização do sistema.