SharpStage Backdoor
O grupo MoleRats Advanced Persistent Threat (APT) lançou uma nova campanha ameaçadora dentro de seu usual no Oriente Médio e Norte da África. Mais especificamente, os alvos observados para serem atacados nesta operação são figuras políticas de alto escalão e funcionários do governo no Egito, nos Territórios Palestinos, na Turquia e nos Emirados Árabes Unidos. O MoleRats também está aderindo ao seu padrão de exploração de eventos regionais significativos como iscas para seus e-mails de phishing. O que chamou a atenção dos pesquisadores da infosec foi a implantação de duas novas ferramentas de backdoor, uma delas denominada SharpStage Backdoor.
O SharpStage Backdoor é uma potente ameaça de backdoor escrita em .NET que mostra sinais de ainda estar em desenvolvimento ativo. Até agora, os pesquisadores descobriram três iterações distintas da ferramenta ameaçadora, com a mais recente possuindo os recursos de execução de comandos arbitrários, coleta de dados confidenciais, captura de tela e extração de todas as informações coletadas. Para garantir que o malware seja iniciado apenas nos alvos apropriados, os hackers MoleRat implementaram uma medida que verifica se o computador infectado tem o árabe instalado e encerra sua execução se a verificação retornar um resultado negativo.
Observou-se que o SharpStage Backdoor baixa cargas adicionais ameaçadoras para o computador comprometido, incluindo a estrutura de acesso remoto Quasar RAT. Embora o Quasar RAT seja uma ferramenta legítima do Windows quando vista no vácuo, não se pode negar que várias gangues de cibercriminosos já o incorporaram como parte de suas operações. Afinal, o Quasar RAT permite que eles iniciem keylogging, coleta de dados, espionagem e outros processos ameaçadores facilmente.
O MoleRats APT também se adaptou rapidamente à tendência crescente entre os hackers, que vêem esses agentes de ameaças usando plataformas legítimas de mídia social e serviços em nuvem como parte de suas estruturas de Comando e Controle (C2, C&C) de malware ou rotinas de exfiltração de dados. O SharpStage Backdoor, em particular, baixa e exfila dados aproveitando a API do cliente Dropbox que pode se comunicar com o Dropbox por meio de um token.
