SparrowDoor

O SparrowDoor é a principal ameaça usada por um grupo APT (Ameaça Persistente Avançada) recém-descoberto, e rastreado como FamousSparrow. Os hackers parecem estar visando hotéis em todo o mundo com a intenção de recolher dados. Em ocasiões diferentes, o FamousSparrow também comprometeu empresas de engenharia, escritórios de advocacia e organizações governamentais.

A Implantação do SparrowDoor

O backdoor SparrowDoor é entregue à máquina da vítima por meio de um carregador que utiliza o sequestro de DLL. O carregador usa três elementos - um arquivo executável K & Computing legítimo (Indexer.exe), um arquivo DLL corrompido (K7UI.dll) e um shellcode criptografado (MpSvc.dll). Todos os três são descartados na pasta% PROGRAMDATA%\Software\.

Para estabelecer persistência, o SparrowDoor depende de uma chave de execução do Registro e de um serviço criado e lançado usando os dados de configuração codificados no binário do malware. Posteriormente, ele tenta aumentar seus privilégios ajustando o token de acesso de seu processo. A etapa final inclui o envio de dados do sistema para o servidor de Comando e Controle (C2, C&C) e, em seguida, aguardar os comandos de entrada.

Funcionalidade Ameaçadora

O SparrowDoor reconhece mais de 10 comandos diferentes. Ele pode manipular o sistema de arquivos na máquina comprometida - criando, renomeando e excluindo arquivos. Ele também pode exfiltrar vários dados para o servidor, incluindo informações do arquivo (atributos do arquivo, tamanho do arquivo e tempo de gravação do arquivo) e o conteúdo dos arquivos especificados. O malware pode encerrar os processos atuais e estabelecer um shell reverso interativo. Se os hackers precisarem mascarar seus rastros, eles podem instruir o SparrowDoor a remover seu mecanismo de persistência e excluir seus arquivos.