SLOTHFULMEDIA
O SlothfulMedia é um dropper de malware que foi o assunto de um relatório emitido pelo Departamento de Segurança Interna (DHS), combinando descobertas da Agência de Segurança de Infraestrutura e Segurança Cibernética (CISA) e a Força de Missão Nacional Cibernética (CNMF). A ameaça de malware foi projetada para colocar dois arquivos adicionais no sistema comprometido - um Trojan de Acesso Remoto (RAT), enquanto o outro arquivo é responsável por excluir o RAT após a persistência ser alcançada.
O arquivo dropper principal tem a tarefa de baixar a carga útil do RAT como um arquivo chamado 'mediaplayer.exe' e colocá-lo na pasta '% AppData%\Media\'. Um arquivo 'media.lnk' também é descartado no mesmo caminho. Em seguida, prossegue com o download de um arquivo na pasta '% TEMP%', atribua a ele um nome aleatório de cinco caracteres e acrescente a extensão .'exe'. Para garantir que o usuário tenha mais dificuldade em perceber esse arquivo, ele é criado com um atributo 'oculto'. O arquivo dropper também é responsável por criar o mecanismo de persistência para o RAT. Ele consegue isso criando um processo 'TaskFrame' que executará o RAT em cada inicialização do sistema. A comunicação com a infraestrutura Command-and-Control (C2, C&C) é feita por meio de solicitações HTTP e HTTPS para o domínio 'www [.] Sdvro.net'.
A própria carga do RAT é capaz de assumir o controle total do computador comprometido. Ele inicia sua atividade de coleta de dados fazendo uma captura de tela da área de trabalho, nomeando-o 'Filter3.jpg' e colocando-o dentro do diretório local. Em seguida, ele coleta vários dados do sistema, como computador e nome de usuário, versão do sistema operacional, uso de memória e unidades lógicas conectadas. A informação é transformada em uma string, em seguida, hash e enviada como parte da comunicação inicial com o servidor C2. Se tudo estiver funcionando perfeitamente, o RAT aguardará um comando específico para ser executado na máquina infectada. Ele pode manipular arquivos, executar e parar processos, enumerar portas abertas, drives, arquivos, diretórios e serviços, fazer capturas de tela; modificar o Registro, entre outras atividades ameaçadoras.
O arquivo com o nome aleatório entregue pelo dropper é responsável por limpar alguns dos indícios reveladores da atividade do RAT. Ele modifica o Registro para garantir que o executável principal do malware seja excluído na próxima reinicialização do sistema. A chave de Registro que ele usa é:
'HKLM\System\CurrentControlSet\Control\SessionManager\PendingFileRenameOperations
Dados: \??\C:\Users\<user>\AppData\Local\Temp\wHPEO.exe.'
O histórico de Internet do usuário também será apagado excluindo o arquivo 'index.dat'.
