NativeZone Malware

O NativeZone Malware é um loader implantado como parte de um novo ataque de phishing atribuído ao infame grupo de hackers APT29. O mesmo ator de ameaça estava por trás do ataque à cadeia de suprimentos que comprometeu a SolarWinds. Acredita-se que o APT29 tenha ligações com a Rússia e é rastreado sob vários outros nomes, incluindo SolarStorm, Nobelium, NC2542, DarhHalo e outros.

Em sua nova operação, o APT29 conseguiu violar a conta de contato da Agência dos Estados Unidos para o Desenvolvimento Internacional (USAID). Os hackers então passaram a usar a conta de marketing legítima para enviar mais de 3.000 emails de phishing para mais de 150 alvos diferentes. Entre as organizações afetadas pela campanha ameaçadora estavam agências governamentais e entidades envolvidas com o desenvolvimento internacional, bem como com o trabalho humanitário e de direitos humanos. Um relatório divulgado pela Microsoft sobre o ataque de phishing revelou que o APT29 implantou 4 cepas de malware nunca antes vistas - um anexo HTML chamado 'EnvyScout', um downloader chamado 'BoomBox', um loader chamado 'NativeZone' e um shellcode chamado 'VaporRage.'

Detalhes sobre o NativeZone

O malware NativeZone é um loader projetado para realizar uma única tarefa - a entrega da carga útil do VaporRage no sistema violado. O NativeZone é colocado no sistema pelo malware de estágio anterior BoomBox. A ameaça está oculta como um arquivo denominado 'NativeCacheSvc.dll'. NativeZone é configurado para iniciar automaticamente sempre que um usuário fizer login no Windows. Ao ser iniciada via rundll32.exe, a ameaça continuará a iniciar o outro arquivo descartado pelo BoomBox chamado 'CertPKIProvider.dll'. Ele carrega a carga útil do malware VaporRage.