Snip3 Loader

Os pesquisadores da Morphisec descobriram uma nova ameaça de malware altamente sofisticada e ameaçadora, que eles chamaram de criptor 'Snip3'. A ameaça é oferecida em um esquema Cryptor-como-um-Serviço e está sendo usada em campanhas de ataque em andamento que fornecem várias tensões RAT (Trojans de Acesso Remoto) como cargas finais nas máquinas comprometidas. Os recursos mais poderosos do carregador Snip3 são os seus recursos de prevenção de detecção e anti-análise com base em várias técnicas avançadas, como a execução de código PowerShell com o parâmetro 'remotesigned', usando Pastebin e top4top para teste, compilação de carregadores de runPE em tempo de execução e verificar se há Windows Sandbox e virtualização VMWare.

A cadeia de ataque é composta de vários estágios, com o vetor de ataque inicial sendo disseminado por meio de e-mails de phishing. As mensagens de isca tentam enganar o usuário alvo para fazer o download de um arquivo básico visual corrompido. Em alguns casos, os atores da ameaça usaram um grande arquivo de instalação para ocultar a entrega de sua ferramenta de malware.

A Fase Inicial do Ataque do Snip3

O primeiro estágio envolve a implantação de um script VB que é responsável por preparar e inicializar o próximo estágio do ataque de malware - um script PowerShell de segundo estágio. Os pesquisadores da Infosec conseguiram identificar quatro versões principais do script VB ao lado de 11 subversões. O que diferencia as 4 versões é o método exato usado para carregar o PowerShell seguinte, enquanto as subversões empregam diferentes tipos de ofuscação. Deve-se observar que, neste estágio inicial, o ator da ameaça implementou uma técnica bastante exclusiva observada em algumas das versões - o script executa o PowerShell com um parâmetro '-RemoteSigned' como um comando.

O Segundo Estágio da Operação Snip3

O segundo estágio gira principalmente em torno de garantir que o malware não esteja sendo executado em um ambiente virtual. Se tudo parecer estar dentro das expectativas, o script do PowerShell seguirá para carregar o RUnPE para executar a carga útil do RAT, selecionada reflexivamente em um processo vazio do Windows.

O Snipe3 é equipado com medidas anti-VM extras quando comparado ao código usual visto à solta, que não é capaz de detectar o Microsoft Sandbox. Para verificar se há VMs em potencial, como VMWare, VirtualBox ou Windows Sandbox, o script do PowerShell extrai a string do fabricante e a compara a uma lista de strings codificadas. Para detectar ambientes Sandboxie, o malware tenta resolver um identificador para uma DLL chamada SbieDll.dll. Se uma VM for encontrada, o malware termina suas operações sem entregar a carga útil RAT.

A Implantação da Ameaça de um RAT

O último estágio das operações do Snip3 vê a ameaça entregar um malware RAT selecionado no sistema infectado. O mecanismo de entrega difere do que é comumente observado em outras campanhas ameaçadoras. Snip3 dobra em sua furtividade ao transportar um código-fonte incorporado e compactado (GZIP) que é compilado em tempo de execução. Este código-fonte parece ser uma versão modificada do runPE de um repositório GitHub denominado NYAN-x-CAT.

Até agora, várias ameaças RAT foram observadas como sendo descartadas como carga final pelo Snip3. Na maioria das vezes, as ameaças implantadas são o ASyncRAT ou o RevengeRAT. No entanto, houve casos em que as variantes do Snip3 entregaram o AgentTesla ou o NetWire RAT.

As organizações devem levar em consideração o IoC (Indicadores de Compromisso) divulgado e levar em consideração as capacidades do Snip3 que permitem que ele contorne facilmente as soluções centradas na detecção.