O grupo de cibercriminosos Mysterious Elephant, também conhecido como APT-K-47, tem se destacado por usar táticas sofisticadas para atingir organizações, especialmente no Paquistão. Recentemente, uma nova campanha foi identificada, na qual o grupo utiliza iscas relacionadas ao Hajj, um evento religioso significativo, para distribuir uma versão avançada do malware Asyncshell.
APT-K-47 e o uso de iscas temáticas de Hajj para disseminação do malware Asyncshell
De acordo com uma análise da equipe Knownsec 404, a campanha se utiliza de um arquivo CHM (Microsoft Compiled HTML Help), disfarçado como um documento sobre a política do Hajj em 2024. Ao ser executado, o arquivo apresenta um PDF legítimo, hospedado no site do Ministério de Assuntos Religiosos e Harmonia Inter-religiosa do Paquistão. No entanto, em segundo plano, o malware é ativado silenciosamente, permitindo que o atacante ganhe controle remoto do sistema da vítima.
O malware Asyncshell, utilizado desde meados de 2023 por este grupo, tem se mostrado cada vez mais sofisticado. Inicialmente simples, o malware evoluiu para usar canais de comunicação mais seguros, como HTTPS, para se comunicar com o servidor de comando e controle (C2). Além disso, novas versões do Asyncshell passaram a utilizar um script em Visual Basic para exibir o documento falso e lançar o ataque através de uma tarefa agendada no sistema.
Notícias Relacionadas
Cibersegurança Avançada
Malware sofisticado usa drivers vulneráveis para escapar de antivírus
Uma nova campanha de malware utiliza a técnica BYOVD para manipular drivers legítimos e desativar proteções antivírus, permitindo controle total do sistema infectado.
Cibersegurança e crimes digitais
Hackers norte-coreanos roubaram R$ 58 milhões com golpes de IA no LinkedIn
Grupo de hackers norte-coreano utiliza IA e táticas de engenharia social para roubar milhões em criptomoedas via LinkedIn e malwares. Mais de US$ 10 milhões foram subtraídos.
Embora o vetor exato de acesso inicial não tenha sido identificado, a estratégia mais provável envolve o uso de e-mails de phishing, que entregam um arquivo ZIP contendo o CHM malicioso e um executável oculto. O uso do WinRAR e sua falha de segurança (CVE-2023-38831) foi identificado como parte do processo de infecção, facilitando a exploração do sistema alvo.
O grupo APT-K-47, que já esteve associado a campanhas de spear-phishing em 2023, utiliza uma infraestrutura de comando e controle dinâmica, mudando constantemente os servidores de controle, o que dificulta a detecção e neutralização dos ataques. Através dessas atualizações constantes no código e na sequência do ataque, o grupo demonstra uma evolução no uso de Asyncshell como uma ferramenta-chave para suas operações cibernéticas.
