VenomLNK

O VenomLNK é uma ferramenta fornecida pela Golden Chickens (GS) Malware-as-a-Service (MaaS) para os autores de ameaças para várias campanhas de malware. É o início de uma típica cadeia de infecção pelo GC MaaS. Os pesquisadores relataram um arquivo corrompido de atalho do Windows denominado VenomLNK enquanto investigavam vários ataques de malwares diferentes.

É sugerido que VenomLNK é uma nova variante de um kit construtor de documentos ameaçador já conhecido, chamado VenomKit. O VenomKit foi usado para explorar múltiplas vulnerabilidades ao construir documentos Rich Text File (RTF) corrompidos.

Quando bem-sucedido, esse ataque resulta na entrega de arquivos em lote e de um scriptlet no sistema visado, seguido pelo download e execução de malware adicional. Particularmente, o VenomLNK faz com que uma variante do TerraLoader seja descartada no computador afetado. Esse GC Loader contém um arquivo JavaScript ofuscado que, por sua vez, baixa um arquivo que é uma variante de outra ferramenta de GC ameaçadora conhecida como "more_eggs".

Os pesquisadores de ciber-segurança têm investigado o VenomLNK desde 2018, junto com várias outras ferramentas GS MaaS usadas juntas em cadeias de ataque semelhantes que seguem o mesmo padrão. Os operadores desse esquema notório continuam a expandir o seu portfólio de ferramentas perigosas que suportam a sua estrutura C2. Espera-se que este ano o MaaS continue a evoluir e atrair os principais agentes de ameaças de alto nível.