Cotação de desconto para licenças múltiplas
Banco de Dados de Ameaças Malware Malware TransferLoader

Malware TransferLoader

Por Mezo em Malware, Ameaça Persistente Avançada (APT)
Traduzir Para:

Pesquisadores de segurança estão estabelecendo conexões entre os atores notórios por trás do RomCom RAT e um carregador de malware chamado TransferLoader. Esta campanha, que tem como alvo entidades com ataques de espionagem e ransomware, destaca técnicas sofisticadas e infraestruturas sobrepostas que exigem um exame minucioso.

Dois clusters de atores de ameaças: TA829 e UNK_GreenSec

Pesquisadores de segurança cibernética atribuíram a atividade relacionada ao TransferLoader a dois grupos principais de agentes de ameaças:

  • TA829, também rastreado sob pseudônimos como RomCom RAT, CIGAR, Nebulous Mantis, Storm-0978, Tropical Scorpius, UAC-0180, UAT-5647, UNC2596 e Void Rabisu.
  • UNK_GreenSec, um cluster menos conhecido operando em paralelo com táticas semelhantes.

O TA829 é particularmente notável por suas operações híbridas, combinando espionagem e ataques com motivação financeira. Este grupo alinhado à Rússia já aproveitou vulnerabilidades de dia zero no Mozilla Firefox e no Microsoft Windows para implantar o RomCom RAT, visando organizações globais de alto valor.

TransferLoader: Surgimento e Papel em Campanhas de Malware

O TransferLoader foi identificado pela primeira vez em fevereiro de 2025, durante uma campanha envolvendo o ransomware Morpheus, uma versão renomeada do ransomware HellCat. O malware foi usado contra um escritório de advocacia americano não identificado. Ao contrário do RomCom, o TransferLoader serve principalmente como um mecanismo de entrega furtivo, permitindo a implantação de payloads maliciosos adicionais, como Metasploit e Morpheus.

A missão do TransferLoader é simples: permanecer indetectável e distribuir mais malware.

Explorando a infraestrutura do proxy REM

Tanto o TA829 quanto o UNK_GreenSec dependem de serviços de proxy REM, frequentemente hospedados em roteadores MikroTik comprometidos. Esses proxies são usados para rotear tráfego malicioso, ocultando sua verdadeira origem. Os grupos usam essa infraestrutura para:

  • Enviar e-mails de phishing por meio de serviços de e-mail gratuitos (por exemplo, Gmail, ukr.net)
  • Retransmitir tráfego para ocultar a atividade upstream
  • Inicie campanhas usando contas de e-mail recém-criadas e comprometidas

Pesquisadores suspeitam do uso de ferramentas de criação de e-mails que geram endereços de remetentes em massa, como ximajazehox333@gmail.com e hannahsilva1978@ukr.net, para distribuição de phishing.

Mecânica de phishing e entrega de carga útil

As mensagens de phishing enviadas por ambos os grupos frequentemente contêm links incorporados no corpo do e-mail ou anexos em PDF. As vítimas que clicam nesses links são submetidas a uma cadeia de redirecionamentos via Rebrandly, que acabam levando a páginas falsas do Google Drive ou do Microsoft OneDrive. Esses redirecionamentos incluem mecanismos para:

  • Ignorar ambientes sandbox
  • Filtrar sistemas que não sejam de interesse
  • Entregue diferentes cargas úteis finais dependendo do grupo de ameaça

Caminhos de Ataque Divergentes :

  • UNK_GreenSec usa esta rota para implantar o TransferLoader
  • TA829 redireciona alvos para malware SlipScreen

Ferramentas e infraestrutura compartilhadas

Ambos os grupos de atores demonstram conjuntos de ferramentas e escolhas de infraestrutura sobrepostos:

  • Uso do utilitário PLINK do PuTTY para estabelecer túneis SSH
  • Hospedagem de utilitários maliciosos em serviços IPFS (InterPlanetary File System)
  • Aproveitando endpoints de redirecionamento dinâmicos baseados em PHP para filtragem de tráfego

Esses métodos compartilhados sugerem possível coordenação ou adoção mútua de táticas eficazes.

Temas de Engenharia Social e Táticas de Entrega

Campanhas envolvendo o TransferLoader frequentemente se disfarçam de e-mails com oportunidades de emprego, atraindo vítimas com links que supostamente levam a currículos em PDF. Na realidade, o link aciona o download do TransferLoader hospedado em webshares do IPFS.

Principais destaques técnicos das operações do TransferLoader

Evade Detection – Usa redirecionamento, filtragem e hospedagem descentralizada para contornar defesas tradicionais.

Entrega de carga útil – Atua como um carregador para malware mais perigoso, incluindo ransomware e ferramentas de acesso remoto.

Técnicas diferenciadas – Emprega estruturas de redirecionamento exclusivas (JavaScript para endpoints PHP) para dar suporte à entrega dinâmica de conteúdo.

Conclusão: Compreendendo a ameaça do TransferLoader

O TransferLoader representa uma ameaça significativa como um carregador furtivo capaz de permitir ataques de alto impacto. Seu uso tanto pelo UNK_GreenSec quanto pelo TA829 ilustra como grupos cibercriminosos continuam a inovar, compartilhar ferramentas e explorar infraestruturas descentralizadas para evitar a detecção e atingir seus objetivos.

Os indicadores da ameaça TransferLoader incluem:

  • Uso dos serviços do REM Proxy
  • E-mails promocionais que fazem referência a currículos ou candidaturas a emprego
  • Redirecionar cadeias envolvendo links Rebrandly
  • Cargas úteis hospedadas em plataformas baseadas em IPFS

As organizações devem permanecer vigilantes, implementar filtragem robusta de e-mail e da Web e monitorar continuamente o comportamento anormal da rede vinculado a essas táticas.

Tendendo

Mais visto

Carregando...