Threat Database Malware SLUB Malware

SLUB Malware

O SLUB Malware é uma ameaça de backdoor escrita na linguagem C ++. Seu nome vem da combinação de Slack e GitHube, ambos serviços legítimos que foram abusados pela ameaça como parte de sua infraestrutura de comando e controle. O SLUB abusa de várias vulnerabilidades como um vetor de ataque para obter acesso aos computadores visados. A cadeia de ataque é complexa, envolvendo vários estágios e cargas úteis.

Depois de explorar uma vulnerabilidade como um ponto de acesso com êxito, um arquivo DLL funcionando como um carregador é colocado no dispositivo comprometido. Esse downloader de primeiro estágio é executado por meio do PowerShell para fornecer a carga útil SLUB Malware real. O carregador também executa uma verificação de programas antimalware instalados no dispositivo de destino, verificando-o em uma lista predefinida. Se uma correspondência for encontrada, o malware interrompe sua execução.

Uma vez totalmente implantado, o SLUB Malware oferece controle significativo do dispositivo aos hackers. Eles podem então emitir comandos arbitrários para realizar uma ampla gama de atividades ameaçadoras. SLUB pode fazer capturas de tela, manipular o sistema de arquivos, executar comandos, listar e encerrar processos e modificar o registro do computador.

O SLUB Elimina o Slack e o GitHub e Agora Explora o Mattermost

A versão mais recente do SLUB a ser implantada em uma campanha estilo poço não usa mais Slack ou GitHub em sua estrutura C2. Em vez disso, os hackers optaram por abusar de um serviço de chat online de código aberto chamado Mattermost. Este serviço de bate-papo é usado como uma forma de acompanhar a campanha SLUB, criando um canal separado para cada vítima infectada.

O objetivo dos hackers é comprometer sites legítimos e forçá-los a hospedar e distribuir malware. A campanha envolve cinco servidores C2 diferentes e explora quatro novas vulnerabilidades. Os usuários do Chrome são redirecionados para uma versão de prova de conceito armada da vulnerabilidade CVE-2019-5782 Google Chrome, bem como uma vulnerabilidade que não tem uma designação atribuída atualmente. Por meio das explorações, três cargas de malware separadas são inseridas no computador de destino, uma das quais é o Malware SLUB. Enquanto o lado Chrome da campanha de ataque usa shellcode, o PowerShell é usado quando se trata do Internet Explorer. A vulnerabilidade abusada é, obviamente, também diferente - CVE-2020-0674.

Tendendo

Mais visto

Carregando...