Hackers têm adotado novas estratégias para distribuir malware, aproveitando-se de imagens para esconder códigos maliciosos como o VIP Keylogger e o 0bj3ctivity Stealer. Essas campanhas, embora separadas, compartilham a técnica de camuflar os malwares dentro de imagens enviadas para o archive[.]org, um site de hospedagem de arquivos.
Ataques com imagens maliciosas: um novo padrão
De acordo com o relatório de insights sobre ameaças da HP Wolf Security, ambas as campanhas começam com e-mails de phishing que se disfarçam como faturas ou ordens de compra. Esses e-mails induzem os destinatários a abrir anexos maliciosos, como documentos do Microsoft Excel, que exploram vulnerabilidades conhecidas no Equation Editor (CVE-2017-11882) para baixar um arquivo VBScript.
Como funciona o ataque?
O VBScript é projetado para executar um script PowerShell, que, por sua vez, baixa uma imagem hospedada no archive[.]org. Dentro dessa imagem, há um código codificado em Base64 que é decodificado em um executável .NET. Esse executável serve como carregador, permitindo que os hackers baixem e executem o VIP Keylogger em sistemas infectados.
O VIP Keylogger é um malware que permite aos atacantes roubar uma vasta gama de dados, como pressionamentos de tecla, capturas de tela, conteúdo da área de transferência e credenciais de usuários. Ele compartilha funcionalidades com outros keyloggers, como o Snake Keylogger e o 404 Keylogger.
Outra campanha: 0bj3ctivity Stealer
Em uma campanha semelhante, hackers enviaram e-mails se passando por solicitações de cotações. Ao abrir o anexo, os alvos acionavam um script PowerShell, que, como na campanha anterior, baixava uma imagem com código malicioso. A diferença, nesse caso, é que o ataque resultava na implantação do 0bj3ctivity Stealer, um ladrão de informações.
Notícias Relacionadas
Malware em Python alimenta ransomware e explora vulnerabilidades de rede
Pesquisadores revelaram como um malware em Python, associado ao ransomware RansomHub, explora falhas de rede para comprometer endpoints, utilizando técnicas avançadas de ofuscação e movimento lateral na rede.
Ameaça cibernética
Botnet MikroTik explora registros SPF vulneráveis para disseminar malware
Uma botnet com 13.000 dispositivos MikroTik explora registros DNS SPF vulneráveis para falsificar e-mails e espalhar malware por meio de phishing e ataques DDoS.
Essas duas campanhas indicam uma tendência de utilização de kits de malware que facilitam a criação de ataques mais eficientes, reduzindo o tempo e o conhecimento necessário para os hackers implementarem suas ameaças.
O uso crescente de GenAI nas campanhas
Além disso, a HP Wolf Security observou um aumento no uso de técnicas de contrabando de HTML, com o objetivo de instalar o trojan de acesso remoto XWorm através de um dropper AutoIt. Uma novidade destacada pela pesquisa é que alguns dos arquivos HTML foram criados com o auxílio de GenAI, o que torna as campanhas mais sofisticadas e difíceis de rastrear.
De acordo com a HP, o uso de GenAI pode tornar as campanhas mais escaláveis e variadas, o que aumenta as taxas de infecção e dificulta a atribuição dos ataques pelos defensores.
O futuro do crime cibernético
Os pesquisadores também notaram que os criminosos cibernéticos estão criando repositórios no GitHub, oferecendo ferramentas para trapaças e modificação de jogos. Essas ferramentas são usadas para implantar o Lumma Stealer, outro malware, através de um dropper .NET.
Alex Holland, pesquisador de ameaças da HP Security Lab, destacou que as campanhas observadas são um reflexo da mercantilização do crime cibernético. O acesso fácil a kits de malware torna mais simples para iniciantes, com habilidades limitadas, criar cadeias de infecção eficazes.
