ZxxZ Trojan

O Trojan ZxxZ é uma ameaça de malware anteriormente desconhecida, que está sendo implantada como parte das operações prejudiciais atribuídas ao grupo Bitter ATP (Advanced Persistent Threat). Detalhes sobre a ameaça, bem como sua campanha de ataque foram revelados ao público em um relatório dos pesquisadores da Cisco Talos. O alvo principal do Trojan ZxxZ é o governo de Bangladesh e o objetivo provável é ciberespionagem e roubo de dados.

A ameaça é entregue como um arquivo executável do Windows de 32 bits nos dispositivos violados. Ele é capaz de buscar e executar módulos corrompidos adicionais. Esses componentes são descartados nas máquinas infectadas como arquivos com nomes genéricos semelhantes a 'ntfsc.exe', 'Update.exe' etc. Os módulos são armazenados na pasta de dados do aplicativo local e executados como uma atualização de segurança do Windows.

O Trojan ZxxZ está equipado com vários recursos anti-detecção, incluindo strings ofuscadas, a capacidade de procurar e eliminar os processos do Windows Defender e outras soluções antimalware. Depois, a ameaça ativará uma função de coleta de informações. Os dados adquiridos serão armazenados em um buffer de memória, antes de serem exfiltrados para os servidores de Comando e Controle (C2) da operação. A resposta do servidor C2 será um executável portátil colocado no local '%LOCALAPPDATA%\Debug\'. Em caso de erro durante a entrega deste executável, o ZxxZ repetirá o processo exatamente 225 vezes antes de parar e sair.

Vale lembrar que os pesquisadores encontraram duas cadeias de infecção, e ambas as versões começam com um e-mail de spear-phishing. Essas mensagens chamativas estão escondidas atrás de endereços de e-mail falsificados para passar como correspondência legítima proveniente de organizações governamentais paquistanesas. No entanto, os anexos de arquivos armados podem ser diferentes. Em um caso, os e-mails de atração carregavam um arquivo .RTF que explora a vulnerabilidade CVE-2017-11882 para comprometer máquinas com versões vulneráveis do Microsoft Office. A outra variação da cadeia de ataque utiliza um documento .XLSX. Desta vez, os invasores aproveitam as vulnerabilidades CVE-2018-0798 e CVE-2018-0802 para acionar a execução remota de código em instâncias desatualizadas do Microsoft Office.