Subzero Malware

Um ator ofensivo do setor privado (PSOA) foi observado usando várias vulnerabilidades de dia zero do Windows e da Adobe para infectar as vítimas com um malware desenvolvido internamente rastreado como Subzero. Detalhes sobre o agente da ameaça e o malware Subzero foram divulgados em um relatório do Microsoft Threat Intelligence Center (MSTIC). Os pesquisadores rastreiam esse PSOA em particular como KNOTWEED e acreditam que é um agente de ameaças baseado na Áustria chamado DSIRF.

O KNOTWEED provavelmente fornecerá uma combinação de dois modelos diferentes - acesso como serviço e hack-for-hire, já que o grupo vende seu malware Subzero para terceiros e parece ter um envolvimento mais direto em certos ataques. As vítimas incluem escritórios de advocacia, agências de consultoria e bancos localizados na Áustria, Reino Unido e Panamá.

Detalhes de malware Subzero

A ameaça Subzero é entregue aos alvos escolhidos por meio de vários métodos de infecção. Os invasores abusaram de explorações de dia zero, como CVE-2022-22047. Além disso, o malware foi implantado por meio de um arquivo Excel armado, fingindo ser um documento imobiliário. O arquivo continha uma macro corrompida que aciona a entrega de Subzero ao dispositivo da vítima.

Para evitar a detecção, a carga principal da ameaça reside quase inteiramente na memória. Seus recursos invasivos incluem keylogging, captura de telas, abertura de um shell remoto e execução de comandos, exfiltração de arquivos e muito mais. Além disso, o malware pode ser instruído a buscar e executar plugins adicionais do servidor Command-and-Control (C2, C&C) da campanha do ataque.