SCVReady

Os cibercriminosos estão usando um carregador de malware anteriormente desconhecido entregue por meio de ataques de phishing. Detalhes sobre a ameaça e suas campanhas de ataque associadas foram revelados ao público em um relatório da HP. De acordo com as descobertas dos pesquisadores, a ameaça rastreada como SCVReady usa uma técnica incomum quando é carregada no dispositivo da vítima. Deve-se notar que, embora a ameaça não possa ser atribuída de forma conclusiva a um grupo APT específico, existem certas ligações entre a campanha de ataque e as operações de ameaça anteriores realizadas pelo grupo TA551 (Shatack).

O SVCReady é distribuído dentro de arquivos do Word envenenados anexados a e-mails de atração. Os arquivos corrompidos ainda usam macros VBA para executar shellcode, que por sua vez entrega a carga de um local remoto. No entanto, no caso do SVCReady, as macros VBA e o shellcode são separados, com os invasores ocultando o shellcode comprometido dentro das propriedades do arquivo. Depois que a ameaça for implantada no sistema, ela primeiro realizará a coleta inicial de informações por meio de consultas do Registro e chamadas de API do Windows. Os dados adquiridos serão então transmitidos para um servidor de Comando e Controle (C2, C&C). A comunicação entre as versões posteriores da ameaça e seu servidor C2 é criptografada em RC4.

O carregador também tentará verificar se está sendo executado dentro de um ambiente virtualizado, fazendo duas consultas WMI. Dependendo dos resultados, o SVCReady pode entrar em um sono de 30 minutos. Quanto ao seu mecanismo de persistência, a ameaça criará uma tarefa agendada e uma nova chave de registro no sistema violado. No entanto, a implementação desse recurso atualmente apresenta falhas e leva a erros que impedem o lançamento do malware após uma reinicialização. Essa funcionalidade pode ser corrigida em uma das próximas versões, pois os pesquisadores da HP observam que o SVCReady ainda está em desenvolvimento ativo. Os agentes de ameaças podem instruir o malware a fazer capturas de tela arbitrárias, executar comandos de shell, executar um arquivo escolhido ou buscar cargas adicionais ameaçadoras.