PicassoLoader Malware
Os especialistas da Infosec identificaram uma série de campanhas de ataques cibernéticos contra alvos na Ucrânia e na Polônia. Os cibercriminosos estão focados em comprometer entidades governamentais, organizações militares e usuários civis. Essas campanhas visam obter dados confidenciais de forma ilícita e estabelecer acesso remoto contínuo aos sistemas comprometidos.
Abrangendo um período de abril de 2022 a julho de 2023, esta campanha de invasão utiliza várias táticas. Iscas de phishing e documentos falsos são empregados para enganar as vítimas e facilitar a implantação de um malware de downloader conhecido como PicassoLoader. Esse software ameaçador serve como uma porta de entrada para o lançamento de outras ferramentas inseguras, especificamente o Cobalt Strike Beacon e o njRAT.
Iscas de phishing são técnicas enganosas usadas para induzir os indivíduos a divulgar informações confidenciais, como nomes de usuário, senhas ou credenciais de conta. Documentos chamariz são arquivos disfarçados projetados para parecer legítimos, mas na verdade contêm cargas inseguras. Ao estimular as vítimas a interagir com esses documentos falsos, os invasores podem executar o downloader do PicassoLoader em seus sistemas.
Depois que o PicassoLoader é implantado com sucesso, ele serve como um canal para o próximo estágio do ataque. Ele permite a instalação e execução de dois tipos adicionais de malware: o Cobalt Strike Beacon e o njRAT. O Cobalt Strike Beacon é uma ferramenta sofisticada de teste de penetração que permite que invasores obtenham acesso não autorizado e controle sobre sistemas comprometidos. Quanto ao njRAT, é um trojan de acesso remoto que fornece aos invasores acesso remoto não autorizado aos sistemas infectados, permitindo que eles realizem atividades maliciosas sem serem detectadas.
Índice
O PicassoLoader Malware é Implantado como Parte de uma Cadeia de Infecção em Vários Estágios
Os atacantes por trás do PicassoLoader utilizaram uma cadeia de infecção de vários estágios para realizar suas atividades prejudiciais. O estágio inicial envolveu o uso de documentos comprometidos do Microsoft Office, sendo os formatos de arquivo Microsoft Excel e PowerPoint os mais comumente empregados. Esses documentos servem como ponto de partida para o ataque.
Seguindo os documentos do Office, um downloader executável e uma carga útil estão ocultos em um arquivo de imagem. Essa tática provavelmente foi empregada para tornar a detecção do downloader e da carga útil mais desafiadora para os sistemas de segurança. Escondendo-se dentro de um arquivo de imagem, os invasores visam contornar as medidas de segurança e aumentar as chances de uma infiltração bem-sucedida.
Alguns desses ataques foram atribuídos a um agente de ameaça conhecido como GhostWriter, também rastreado como UAC-0057 ou UNC1151. Acredita-se que as motivações e objetivos do GhostWriter estejam alinhados com os interesses do governo bielorrusso.
Numerosos Ataques Direcionados contra a Ucrânia foram Observados
Vale a pena mencionar que um subconjunto desses ataques já havia sido documentado no ano passado pela Equipe de Resposta a Emergências de Computadores da Ucrânia (CERT-UA). Um exemplo notável ocorreu em julho de 2022, quando documentos do PowerPoint carregados de macros foram empregados para entregar o malware Agent Tesla. Este incidente destacou o uso de macros como meio de distribuir malware e comprometer os sistemas das vítimas.
As cadeias de infecção usadas nesses ataques dependem de métodos de engenharia social para convencer as vítimas a habilitar macros nos documentos do Office. Depois que as macros são ativadas, uma macro VBA é acionada, levando à implantação da ameaça do downloader PicassoLoader DLL. Esse downloader então estabelece uma conexão com um site controlado pelos invasores para recuperar a carga útil do próximo estágio, que está incorporada a um arquivo de imagem aparentemente legítimo. O malware final está oculto neste arquivo de imagem.
Essas divulgações recentes do CERT-UA coincidem com seus relatórios sobre várias operações de phishing que distribuem o malware SmokeLoader. Além disso, foi identificado um ataque smishing direcionado aos usuários do Telegram com o objetivo de obter controle não autorizado sobre suas contas.
O GhostWriter é Apenas um dos Grupos de Criminosos Cibernéticos que Visam a Ucrânia
A Ucrânia se tornou um alvo para vários agentes de ameaças, incluindo o notório grupo de estado-nação russo APT28. O APT28 foi observado empregando uma tática de envio de e-mails de phishing com anexos em HTML, induzindo os destinatários a acreditar que há atividade suspeita em seus sites UKR.NET e Yahoo! contas. Os e-mails solicitam que os usuários alterem suas senhas, mas, em vez disso, os levam a páginas de destino falsas, projetadas para coletar suas credenciais de login.
Esse desenvolvimento recente faz parte de um padrão mais amplo observado nas atividades de hackers associados à inteligência militar russa (GRU). Eles adotaram um 'manual padrão de cinco fases' em suas operações disruptivas contra a Ucrânia, demonstrando um esforço deliberado para aumentar a velocidade, escala e intensidade de seus ataques.
