Poison Frog
Um dos mais infames grupos de hackers do Oriente Médio é originário do Irã e tem o nome de OilRig. Eles também são conhecidos sob os pseudônimos HelixKitten IRN2 e APT34 (Ameaça persistente avançada). O grupo de hackers OilRig começou a operar em 2014 e, desde então, é conhecido por ter reivindicado inúmeras vítimas. Normalmente, o grupo OilRig persegue metas que operam nas indústrias química, de energia e de telecomunicações. Eles também tendem a visar instituições financeiras e governamentais. Alguns especialistas acreditam que o grupo de hackers OilRig é patrocinado pelo governo iraniano e é usado para realizar ataques que servem para promover os interesses do estado do Irã.
Índice
O Backdoor do Poison Frog é Escrito em C#
Recentemente, o APT34 atraiu a atenção de pesquisadores de segurança cibernética com uma nova ameaça chamada Poison Frog. A ameaça Poison Frog é um backdoor Trojan, escrito na linguagem de programação C #. Ameaças escritas em C # não tendem a brilhar com seus recursos. Geralmente, o único serve para injetar o script do PowerShell, que é então executado e rapidamente eliminado após o ataque. De maneira semelhante à lógica encontrada nos scripts do DropShell PowerShell, o script do PowerShell incorporado atua da mesma maneira. O backdoor DNS e HTTP são encontrados nas duas cadeias longas dns_ag e http_ag, que são codificadas em base64. O serviço de agendamento de tarefas ajuda o backdoor do Poison Frog a obter persistência no host comprometido.
A Ameaça do Poison Frog é Mascarada como um Utilitário Legítimo
Ao infectar o sistema visado, a ameaça Poison Frog se mascararia como um aplicativo legítimo chamado Cisco AnyConnect. Desnecessário dizer que o backdoor do Poison Frog não está de forma alguma afiliado ao utilitário genuíno Cisco AnyConnect. A ameaça Poison Frog exibe um layout falso e um botão que lê 'Conectar'. No entanto, se o usuário clicar no botão 'Conectar', será apresentada uma janela pop-up que mostra uma mensagem de erro. Esse é um truque que leva os usuários a acreditar que há um problema com a conexão com a Internet.
O Grupo OilRig Cometeu Vários Erros ao Desenvolver a Ameaça Poison Frog
Quando os especialistas em segurança cibernética estudaram o backdoor do Poison Frog, descobriram vários erros cometidos pelo grupo de hackers OilRig. Um dos exemplos descobertos não pode ser executado porque os criadores da ameaça usaram um comando incorreto 'Poweeershell.exe' em vez de usar 'Powershell.exe'. Em outras amostras, os especialistas descobriram que o caminho do PDB estava dentro do binário da ameaça. Para confundir os pesquisadores de malware, os autores do backdoor Poison Frog alteraram a data de compilação da ameaça para uma que será definida no futuro.
Apesar de alguns erros cometidos pelo OilRig APT, esse grupo de hackers não deve ser subestimado. O grupo de hackers OilRig pode atualizar o backdoor do Poison Frog em algum momento no futuro e eliminar os erros, tornando a ameaça muito mais potente.
