Cotação de desconto para licenças múltiplas
Banco de Dados de Ameaças Malware PowerModul Implant

PowerModul Implant

Por Mezo em Malware, Backdoors
Traduzir Para:
Português

O agente de ameaças conhecido como Paper Werewolf — também conhecido como GOFFEE — tem como alvo exclusivo organizações russas usando um novo implante chamado PowerModul. Entre julho e dezembro de 2024, seus ataques se concentraram em setores-chave, incluindo mídia de massa, telecomunicações, construção civil, entidades governamentais e o setor de energia.

Um Adversário Persistente: Campanhas Desde 2022

O Paper Werewolf realizou pelo menos sete campanhas desde 2022. O foco consistente do grupo tem sido em alvos de alto valor nos setores governamental, energético, financeiro e de mídia.

Mais do que Espionagem: Reviravoltas Destrutivas nas Cadeias de Ataque

As operações da Paper Werewolf vão além da espionagem cibernética tradicional. Suas cadeias de ataque foram observadas incorporando componentes disruptivos, como a alteração de senhas de contas de funcionários, indicando a intenção de paralisar as operações e não apenas roubar dados.

Ponto de Entrada: Iscas de Phishing e PowerRAT

Os ataques geralmente começam com e-mails de phishing contendo documentos com macros. Assim que a vítima acessa o arquivo e habilita as macros, um trojan de acesso remoto baseado em PowerShell, conhecido como o PowerRAT, é implantado. Esse malware prepara o terreno para ataques mais avançados.

Arsenal de Malware Personalizado: PowerTaskel, QwakMyAgent e Owowa

Os payloads do próximo estágio geralmente incluem PowerTaskel e QwakMyAgent, versões personalizadas de agentes baseadas na estrutura Mythic. Outra ferramenta, o Owowa, um módulo malicioso do IIS, é usado para roubar credenciais do Microsoft Outlook inseridas por meio de clientes web.

Nova Tática de Infecção: Executáveis Disfarçados em Arquivos RAR

A onda mais recente de ataques envolve um arquivo RAR malicioso contendo um executável disfarçado de PDF ou documento do Word, com extensões duplas (por exemplo, *.pdf.exe). Após a execução, um documento falso é exibido ao usuário enquanto o sistema é infectado silenciosamente em segundo plano.

O executável é, na verdade, um arquivo de sistema do Windows corrigido (como explorer.exe), incorporado com shellcode malicioso contendo um agente Mythic ofuscado, que se conecta ao servidor C2 para obter mais instruções.

Rota de Ataque Alternativa: O PowerModul Assume o Centro do Palco

Em um método alternativo, o Paper Werewolf usa um arquivo RAR com um documento do Office com macros que atua como um dropper para o PowerModul. Este script do PowerShell pode executar scripts adicionais do servidor C2, tornando-se um backdoor versátil.

Desfile de Carga Útil: Um Kit de Ferramentas para Espionagem e Infecção

O PowerModul está em uso desde o início de 2024, principalmente para baixar e executar o PowerTaskel. Outros payloads notáveis incluem:

  • FlashFileGrabber : rouba arquivos de pen drives e os extrai.
  • FlashFileGrabberOffline : procura arquivos com extensões específicas em mídia flash e os armazena localmente para posterior exfiltração.
  • Worm USB : infecta pen drives com uma cópia do PowerModul para espalhar ainda mais o malware.

Recursos do PowerTaskel: Mais do que Apenas Execução de Scripts

Embora semelhante ao PowerModul, o PowerTaskel é mais eficiente. Ele envia uma mensagem de "checkin" com informações do sistema, executa comandos do servidor C2 e pode escalar privilégios usando o PsExec. Em um caso, ele foi visto executando um script FolderFileGrabber que coleta arquivos de sistemas remotos usando caminhos de rede SMB codificados.

Evolução nas Táticas: Afastando-se do PowerTaskel

Pela primeira vez, o Paper Werewolf utilizou documentos fraudulentos do Word com scripts VBA para acesso inicial. Descobertas recentes também indicam uma mudança tática, com o grupo se afastando do PowerTaskel e passando a depender cada vez mais de agentes binários Mythic para movimentação lateral dentro das redes alvo.

Considerações Finais: Uma Ameaça Crescente com Técnicas em Evolução

O Paper Werewolf continua a refinar suas técnicas e expandir seu arsenal. O foco exclusivo em entidades russas, combinado com capacidades disruptivas e uma estratégia de infecção em constante evolução, o torna uma ameaça cibernética séria e persistente no horizonte.

Tendendo

Mais visto

Carregando...