RoyalRoad

Por GoldSparrow em Malware

A ameaça RoyalRoad é uma ferramenta de hackers que serve para criar documentos RTF corrompidos que ajudam os invasores a comprometer um sistema de destino. Sabe-se que o malware RoyalRoad explora vulnerabilidades anteriormente desconhecidas no serviço Microsoft Equation Editor. Os analistas de malware detectaram vários grupos diferentes de hackers aproveitando os recursos da ameaça RoyalRoad. Entre os grupos de hackers que utilizam o malware RoyalRoad estão IceFog , Goblin Panda e Molerats e outros.

Os operadores da ameaça RoyalRoad vêm usando-a em várias campanhas. Um dos mais recentes ataques de alto nível, a ferramenta RoyalRoad, foi usado contra o Ministério das Relações Exteriores da Mongólia. Os atacantes usaram a ameaça RoyalRoad para criar um documento RTF personalizado que enganaria seus alvos na execução do arquivo corrompido. Muitos cibercriminosos usam documentos RTF como um vetor de infecção, portanto esse não é um método inovador. No entanto, os operadores do malware RoyalRoad injetam a carga da ameaça na pasta '\Microsoft\Word\STARTUP', que não é uma técnica comumente usada. A introdução da carga útil da ameaça na pasta mencionada acima garante que o malware RoyalRoad não será executado até que o usuário reinicie o Microsoft Word. Isso ajuda a ameaça a evitar ambientes de depuração de malware, tornando mais difícil para os pesquisadores de segurança cibernética estudar e analisar essa ferramenta de hackers. Essa técnica também pode servir como um método para obter persistência no sistema infectado.

Se uma ferramenta como o RoyalRoad estiver sendo usada por vários grupos de hackers, geralmente isso significa que a ameaça está disponível publicamente. No entanto, esse não é o caso do malware RoyalRoad. Essa ferramenta não está disponível publicamente, o que levou os analistas de malware a acreditar que os grupos de hackers estão cooperando ou que existe um indivíduo que faz parte de vários grupos diferentes. Usar documentos RTF para comprometer sistemas direcionados não é um truque novo, mas é um que prova ser bem-sucedido repetidamente. Os usuários precisam ter muito cuidado ao receber um email de uma fonte desconhecida - evite abrir anexos, mesmo que pareçam inofensivos à primeira vista.

Tendendo

Mais visto

Carregando...