MontysThree

MontysThree é o nome dado pelos especialistas em malware a um conjunto de ferramentas ameaçadoras escrito em C++ composto de vários módulos diferentes. O nome foi derivado da designação 'MT3' que foi dada ao conjunto de ferramentas por seus criadores criminosos. Observou-se que o conjunto de ferramentas era usado como parte de uma campanha de ataque altamente direcionada. De acordo com os pesquisadores, o ator da ameaça por trás do ataque é um coletivo de hackers recém-descoberto, já que nenhuma das ferramentas de malware nem as táticas, técnicas e procedimentos (TTPs) podem ser comparados com aqueles atribuídos à já conhecida Ameaça Persistente Avançada (APT) atores. Um aspecto peculiar das operações desse novo coletivo de hackers é que ele está envolvido em espionagem corporativa direcionada e não nas atividades usuais de APTs patrocinadas pelo estado, que se concentram mais em empresas de telecomunicações, diplomatas ou entidades governamentais.

Há muitas evidências de que o MontysThree foi projetado para espionagem corporativa contra empresas localizadas na Rússia ou, pelo menos, aquelas baseadas em países de língua russa. Os pesquisadores da infosec descobriram que vários módulos contêm strings de texto em russo ou procuram por diretórios que existem apenas em sistemas Windows localizados em cirílico. Os hackers podem ter tentado enganar quaisquer pesquisadores em potencial implementando contas de e-mail na comunicação do MontysThree que fingem ser de origem chinesa.

MontysThree é Equipado com Esteganografia Personalizada e um Esquema Complexo de Criptografia

O conjunto de ferramentas exibe inúmeras características exclusivas, tornando-o uma ameaça bastante rara entre as outras ferramentas ameaçadoras que existem. Primeiro, é composto por vários módulos, cada um responsável por tarefas específicas:

• Módulo Carregador - Gerencia a extração dos dados criptografados por esteganografia da imagem bitmap que os transporta. O resultado descriptografado é descartado no disco como um arquivo denominado 'msgslang32.dll'.
• Módulo de kernel - Contém chaves de criptografia RSA e 3DES usadas para descriptografar a configuração e durante a comunicação com a infraestrutura de Comando e Controle (C2, C&C). Ele também realiza a coleta de dados através da obtenção de determinados detalhes do sistema, como versão do SO, lista de processos e captura de screenshots. Ele também obtém uma lista dos documentos mais recentes do usuário alvo em diretórios de documentos recentes localizados no %USERPROFILE% e %APPDATA%. Uma pasta específica marcada é% APPDATA%\Microsoft\Office\Последние файлы.
• Módulo HttpTransport - Localizado dentro do Kernel mobile, o módulo HttpTransport é responsável pela exfiltração das informações coletadas. Ele pode fazer download ou upload de dados por meio dos protocolos RDP, Citrix, WebDAV e HTTP. Deve-se notar que os protocolos não são implementados como parte do módulo e, em vez disso, programas legítimos do Windows são explorados - clientes Internet Explorer, RDP e Citrix. O módulo também pode baixar dados de serviços públicos em nuvem, como Google e Dropbox, por meio de tokens de usuário.
• LinkUpdate - Responsável por obter persistência na máquina comprometida, modificando os arquivos ' .lnk ' no painel de Inicialização Rápida do Windows.

O MontyThree Se espalha por Meio de Ataques de Phishing

O conjunto modular de ferramentas MontyThree é entregue dentro de arquivos RAR de extração automática. Os nomes desses arquivos envenenados são projetados para atrair a atenção dos usuários que falam russo. Os hackers usam variações de 'atualização de informações corporativas' ou 'resultados de análises médicas'. Um arquivo era denominado 'Список телефонов сотрудников 2019.doc' (Lista de telefones dos funcionários), enquanto outros eram simplesmente 'Tech task.pdf' ou 'invitro-106650152-1.pdf' (Invitro é o nome de um laboratório médico russo).