SunOrcal

Descrição do SunOrcal

A ameaça SunOrcal surgiu pela primeira vez em 2013. Ao longo dos anos, os operadores do malware SunOrcal introduziram várias atualizações importantes. Uma das atualizações mais importantes foi lançada em 2017 - os cibercriminosos estabeleceram um servidor de C&C (Comando & Controle) hospedado na plataforma GitHub. Outra grande mudança foi a introdução da esteganografia, pois a ameaça SunOrcal agora poderia fazer uso dessa técnica de instalação. Sabe-se que esta ferramenta de hackers foi usada contra várias organizações localizadas em Mianmar, além de ativistas tibetanos conhecidos.

O malware SunOrcal usa uma técnica básica para garantir que dois implantes não sejam executados na mesma rede. Assim que a ameaça é lançada, ela verifica a presença de um mutex específico no host infectado - se uma correspondência for encontrada, ela ainda interromperá a execução. Se uma correspondência não for encontrada, ela continuará criando um mutex com o mesmo nome e continuando com seu ataque. Em seguida, a ameaça SunOrcal irá descompactar e descriptografar o conteúdo, o que permitiria baixar certos dados de configuração necessários para concluir o ataque, tais como:

  • Um link para o servidor C&C baseado no GitHub.
  • A porta utilizada para comunicação.
  • O endereço do servidor C&C.
  • Um URL a partir do qual a ameaça pode buscar cargas maliciosas adicionais.

O perfil do GitHub vinculado a este ataque existe sob o nome de usuário 'NordicMyth'. O usuário em questão está hospedando alguns arquivos 'README' de aparência inocente. No entanto, um deles parece ter uma cadeia criptografada, que não será visível à primeira vista. A ameaça SunOrcal usa essa sequência específica ao executar o ataque. Em seguida, o malware SunOrcal pode baixar uma carga útil adicional que parece ser entregue na forma de um arquivo 'BMP'. O arquivo 'BMP' em questão utiliza a técnica de esteganografia mencionada anteriormente, que permite que ele contenha código oculto. Quando a ameaça SunOrcal decodifica o conteúdo do arquivo 'BMP', ela prossegue com o ataque gerando uma DLL (Dynamic Link Library), que o ajudará a concluir o ataque.

O uso da esteganografia aponta para um grupo de cibercriminosos altamente qualificado, capaz de realizar operações complexas.

Deixar uma Resposta

Por favor NÃO utilize este sistema de comentários para perguntas sobre pagamentos e suporte. Para solicitações de suporte técnico do SpyHunter, entre em contato diretamente com a nossa equipe de suporte técnico, abrindo um ticket de suporte ao cliente através do seu SpyHunter. Para problemas com pagamento, por favor acesse a página "Problemas ou Perguntas referentes ao Pagamento". Para solicitações genéricas (reclamaçōes, questōes legais, imprensa, marketing, direitos autorais) visite a nossa página "Perguntas e Comentários"n"