Cotação de desconto para licenças múltiplas
Banco de Dados de Ameaças Phishing RATO DE PULSO FANTASMA

RATO DE PULSO FANTASMA

Por Mezo em Phishing, Ferramentas de Administração Remota
Traduzir Para:

Uma sofisticada campanha de engenharia social surgiu, explorando o Obsidian como vetor de acesso inicial para implantar um trojan de acesso remoto para Windows, até então desconhecido, chamado PHANTOMPULSE. A campanha tem como alvo específico indivíduos que atuam nos setores financeiro e de criptomoedas, aproveitando-se da confiança em ferramentas legítimas para burlar as normas de segurança tradicionais.

Operação REF6598: Engano Através de Redes Profissionais

Designada como REF6598 por pesquisadores de cibersegurança, esta campanha emprega técnicas avançadas de engenharia social por meio do LinkedIn e do Telegram. Os alvos são inicialmente abordados sob o pretexto de colaboração com uma empresa de capital de risco. As conversas são então transferidas para grupos de bate-papo no Telegram com pessoas que se fazem passar por "parceiros", criando uma fachada convincente de legitimidade.

Nesses grupos, as discussões giram em torno de serviços financeiros e estratégias de liquidez de criptomoedas, reforçando a credibilidade. As vítimas são instruídas a acessar um painel compartilhado por meio de um cofre na nuvem da Obsidian, utilizando as credenciais fornecidas.

O Gatilho Oculto: Ativação Maliciosa do Cofre

A cadeia de infecção é ativada quando a vítima abre o cofre compartilhado no Obsidian. Nesse momento, o usuário é solicitado a habilitar a sincronização para "Plugins da comunidade instalados", um recurso desativado por padrão. Essa ação manual é crucial, pois permite a execução de configurações maliciosas incorporadas.

Os atacantes exploram plugins legítimos, especificamente o Shell Commands e o Hider, para executar código não autorizado. Enquanto o Shell Commands facilita a execução, o Hider oculta elementos da interface, como a barra de status e as dicas de ferramentas, reduzindo a probabilidade de detecção. O ataque depende inteiramente de convencer o usuário a habilitar a sincronização de plugins, contornando assim as proteções integradas.

Evasão por Design: Vivendo de Recursos Legítimos

Esta campanha destaca-se pelo seu uso estratégico abusivo de funcionalidades confiáveis de aplicações, em vez da exploração de vulnerabilidades de software. As principais características incluem:

  • Os payloads maliciosos são incorporados em arquivos de configuração JSON, tornando menos provável que sejam detectados por antivírus tradicionais.
  • A execução é realizada por meio de um aplicativo baseado em Electron com assinatura digital, o que complica a detecção baseada no processo pai.
  • A persistência e a execução de comandos dependem inteiramente de mecanismos legítimos de plugins dentro da aplicação.

Cadeia de infecção do Windows: do carregador ao backdoor residente na memória

Em sistemas Windows, o ataque inicia uma cadeia de execução baseada em PowerShell que implanta um carregador intermediário chamado PHANTOMPULL. Esse carregador descriptografa e executa o PHANTOMPULSE diretamente na memória, evitando a detecção baseada em disco.

O PHANTOMPULSE incorpora a resolução de Comando e Controle (C2) baseada em blockchain, consultando a rede Ethereum. Ele recupera a transação mais recente vinculada a um endereço de carteira predefinido para determinar dinamicamente seu servidor C2. A comunicação é realizada via WinHTTP, permitindo a exfiltração de dados, a recuperação de comandos e a geração de relatórios de execução.

O malware oferece suporte a um amplo conjunto de recursos de controle remoto:

  • inject: injeta shellcode, DLLs ou executáveis em processos.
  • drop: grava e executa arquivos no disco
  • Captura de tela: captura e carrega dados da tela
  • keylog: ativa ou desativa o registro de teclas digitadas
  • Desinstalar: remove mecanismos de persistência e limpa artefatos.
  • elevar: eleva os privilégios para SYSTEM usando a elevação COM.
  • Rebaixamento: reduz os privilégios de SYSTEM para o nível de administrador.

Variante macOS: Ofuscação e infraestrutura C2 flexível

No macOS, o ataque utiliza um AppleScript ofuscado, distribuído pelo mesmo mecanismo de plugin. O script percorre uma lista predefinida de domínios e usa o Telegram como um servidor alternativo para descoberta de servidores de comando e controle (C2). Esse design permite a rápida rotação da infraestrutura, tornando ineficazes as estratégias tradicionais de bloqueio de domínio.

A etapa final envolve a recuperação e execução de uma carga útil secundária via osascript. No entanto, devido à inatividade dos servidores C2 no momento da análise, as capacidades totais dessa carga útil permanecem indeterminadas.

Resultado do ataque e implicações estratégicas

A intrusão observada acabou sendo malsucedida, pois as medidas defensivas detectaram e bloquearam o ataque antes que os objetivos fossem alcançados. Não obstante, o estudo REF6598 destaca uma evolução significativa na metodologia dos agentes de ameaça.

Ao explorar aplicações confiáveis e depender de alterações de configuração feitas pelo usuário, os adversários conseguem contornar os controles de segurança convencionais. Essa abordagem evidencia uma tendência crescente: a utilização de funcionalidades legítimas de software como canais de execução secretos, o que reforça a necessidade de maior conscientização do usuário e monitoramento comportamental nas defesas de cibersegurança.

Tendendo

Mais visto

Carregando...