FadeStealer

Grupul de hacking APT37, denumit și StarCruft, Reaper sau RedEyes, a fost observat recent folosind un malware de furt de informații nou descoperit, numit FadeStealer. Acest malware sofisticat încorporează o capacitate de „interceptare”, permițând actorilor amenințărilor să intercepteze și să înregistreze audio de la microfoanele victimelor în secret.

Se crede pe scară largă că APT37 este un grup de hacking sponsorizat de stat, cu un istoric semnificativ de a desfășura operațiuni de spionaj cibernetic aliniate intereselor Coreei de Nord. Țintele lor au inclus dezertori nord-coreeni, instituții de învățământ și organizații cu sediul în Uniunea Europeană.

În campaniile anterioare, acest grup a folosit programe malware personalizate, cum ar fi „Dolphin” și „ M2RAT ” pentru a-și desfășura atacurile cibernetice. Aceste instrumente amenințătoare au fost concepute special pentru a infiltra dispozitivele Windows, inclusiv telefoanele mobile conectate, și pentru a facilita diverse activități rău intenționate, cum ar fi execuția de comenzi, furtul de date, recoltarea de acreditări și capturarea de capturi de ecran.

Un malware personalizat Backdoor oferă amenințarea FadeStealer

Cercetătorii în domeniul securității au descoperit recent detalii despre un alt malware personalizat utilizat în atacurile de către APT37, cunoscut sub numele de backdoor AblyGo. Alături de FadeStealer, aceste instrumente nedorite sunt proiectate să se infiltreze în sistemele vizate și să faciliteze diverse activități dăunătoare.

Metoda inițială de livrare a acestui malware implică e-mailuri de phishing care conțin arhive atașate. Aceste arhive constau din documente Word și Hangul Word Procesor protejate prin parolă (fișiere .docx și .hwp), împreună cu un fișier Windows CHM „password.chm”. Este foarte probabil ca e-mailurile de phishing să solicite destinatarilor să deschidă fișierul CHM pentru a obține parola necesară pentru deblocarea documentelor. Cu toate acestea, fără ca victimele să știe, această acțiune declanșează procesul de infecție pe dispozitivele lor Windows.

La deschiderea fișierului CHM, un prompt înșelător va afișa presupusa parolă pentru a debloca documentele. Simultan, fișierul descarcă și execută discret un script PowerShell de la distanță, care servește ca ușă în spate cu funcționalitate avansată. Acest backdoor PowerShell stabilește comunicarea cu serverele de comandă și control (C2) ale atacatorilor, permițându-le să execute comenzi pe sistemul compromis de la distanță.

Mai mult, ușa din spate facilitează desfășurarea unei uși din spate adiționale cunoscută sub numele de „Ușa din spate AblyGo” în etapele ulterioare ale atacului. Acest nou backdoor folosește platforma Ably, un serviciu API pe care dezvoltatorii îl folosesc pentru a încorpora caracteristici în timp real și livrarea de informații în aplicațiile lor. Utilizând platforma Ably ca platformă C2, actorii amenințărilor pot trimite comenzi codificate în baza 64 către ușa din spate pentru execuție și pot primi rezultatul. Această abordare le permite să-și ascundă activitățile rău intenționate în cadrul traficului de rețea legitim, ceea ce face mai dificilă detectarea și monitorizarea operațiunilor lor.

„Ușa din spate AblyGo” joacă un rol crucial în campania de spionaj cibernetic, permițând actorilor amenințărilor să efectueze escaladarea privilegiilor, să exfiltreze date sensibile și să furnizeze componente malware suplimentare. Folosind platforme legitime precum Ably, actorii amenințărilor urmăresc să evite monitorizarea rețelei și software-ul de securitate, sporind astfel eficacitatea atacurilor lor.

Capabilitățile de amenințare găsite în amenințarea FadeStealer

Ușile din spate oferă în cele din urmă FadeStealer ca sarcină utilă finală. Amenințarea este un malware foarte puternic care fură informații, conceput special pentru dispozitivele Windows. Odată instalat, FadeStealer folosește o tehnică numită DLL sideloading pentru a se injecta în procesul legitim „ieinstall.exe” al Internet Explorer, camuflând efectiv prezența acestuia.

FadeStealer funcționează pe furiș în fundal, culegând discret o gamă largă de informații sensibile de pe dispozitivul compromis. La intervale regulate de 30 de minute, malware-ul captează capturi de ecran ale ecranului victimei, înregistrează apăsările de taste înregistrate și adună fișiere de pe orice smartphone sau dispozitiv amovibil conectat. În plus, FadeStealer are capacitatea de a înregistra sunet prin microfonul dispozitivului, permițând actorilor amenințărilor din spatele atacului să asculte conversațiile și să adune informații suplimentare.

Datele colectate sunt stocate în foldere %Temp% specifice, fiecare având un scop distinct în cadrul procesului de exfiltrare a datelor. Capturile de ecran realizate de malware sunt stocate în folderul %temp%\VSTelems_Fade\NgenPdbc, în timp ce tastele înregistrate sunt stocate în %temp%\VSTelems_Fade\NgenPdbk. Dosarul %temp%\VSTelems_Fade\NgenPdbm este dedicat stocării datelor obținute prin interceptarea microfonului. În plus, folderul %temp%\VSTelems_FadeIn este utilizat pentru colectarea datelor de pe smartphone-urile conectate, în timp ce folderul %temp%\VSTelems_FadeOut servește ca locație de stocare pentru datele colectate de pe dispozitivele media amovibile. Aceste foldere specifice asigură că datele colectate sunt organizate și accesibile actorilor amenințărilor care orchestrează campania de spionaj cibernetic.

Pentru a menține eficiența și a facilita stocarea datelor, FadeStealer colectează informațiile furate în fișiere de arhivă RAR. Acest lucru permite malware-ului să comprima și să organizeze datele furate, asigurându-se că acestea rămân ascunse și ușor de transportat pentru exfiltrarea ulterioară de către actorii amenințărilor.