PowerPepper Malware
O PowerPepper é uma nova ameaça de malware de backdoor observada como parte das operações de um grupo de ameaças persistentes avançadas (APT) chamado DeathStalker. Acredita-se que este APT em particular esteja agindo como um mercenário e oferecendo seus serviços ao melhor lance. O grupo foi detectado pela primeira vez em 2018, mas acredita-se que tenha sido estabelecido muito antes. Os hackers do DeathStalker se especializam principalmente em realizar campanhas de espionagem e roubo de dados visando entidades da Europa. No entanto, vítimas do DeathStalker da América do Norte e do Sul, bem como da Ásia, também foram identificadas. O kit de ferramentas de malware do grupo consiste em ameaças comparativamente não tão sofisticadas, mas exibe altos níveis de eficácia.
O PowerPepper se encaixa perfeitamente nessa descrição. A ameaça é capaz de atividades potentes de backdoor, pois pode executar comandos shell remotos recebidos de sua infraestrutura de Comando e Controle (C&C, C2). A ameaça pode executar uma ampla gama de funções de espionagem na máquina comprometida, incluindo a coleta de várias informações de usuários e arquivos, navegando em compartilhamentos de arquivos de rede, buscando binários corrompidos adicionais e extraindo dados de infraestrutura C2. Acredita-se que o vetor de comprometimento inicial seja a distribuição de e-mails de spear-phishing. Os arquivos de malware iniciais podem ser anexados ao corpo do e-mail ou escondidos atrás de links corrompidos.
O aspecto mais impressionante do PowerPepper é a infinidade de técnicas de evasão que tem à sua disposição. Primeiro, ele ignora o HTTPS e, em vez disso, usa o DNS como um canal de comunicação com seus servidores C2. O malware envia solicitações DNS do tipo TXT e, em troca, recebe uma resposta DNS com um comando criptografado incorporado. O PowerPepper também tira proveito de uma técnica de esteganografia - partes do código corrompido da ameaça estão ocultas em arquivos de imagem aparentemente inócuos. Os usados pela ameaça representam samambaias ou pimentas (o motivo do nome dado a esta porta dos fundos em particular). O script do carregador encarregado de extrair as informações dos arquivos de imagem, por sua vez, está se mascarando como uma ferramenta de verificação da GlobalSign, um provedor de serviços de identidade.
Além disso, o PowerPepper emprega ofuscação personalizada, comunicação criptografada e aproveita scripts assinados que podem enganar o software anti-malware. DeathStalker também equipou sua nova ferramenta backdoor para filtrar endereços MAC de clientes, manipulação de aplicativos Excel e uma função responsável por detectar o movimento do mouse.
