Um novo malware chamado FinalDraft está explorando rascunhos de e-mails do Outlook para comunicação de comando e controle, visando um ministério em um país da América do Sul.
Novo malware FinalDraft usa rascunhos do Outlook para ataques furtivos
Funcionamento do ataque
Descoberto pelo Elastic Security Labs, o ataque envolve um conjunto de ferramentas sofisticado, incluindo:
- PathLoader: carregador de malware personalizado que executa shellcode e recupera o FinalDraft.
- FinalDraft: backdoor utilizado para exfiltração de dados, injeção de processos e comunicação oculta.
- Utilitários pós-exploração: ferramentas adicionais para persistência e movimentação lateral.
O PathLoader protege-se contra análise estática usando hashing de API e criptografia de strings, dificultando sua detecção. Após a instalação, o FinalDraft se conecta à Microsoft Graph API para trocar comandos escondidos em rascunhos do Outlook.
Táticas evasivas
O FinalDraft utiliza tokens OAuth da Microsoft incorporados na configuração para manter persistência no sistema, armazenando-os no Registro do Windows. Em vez de enviar e-mails, ele se comunica por meio de rascunhos nomeados conforme o ID da sessão, dificultando a identificação por ferramentas de segurança.
Seus principais recursos incluem:
Notícias Relacionadas
Segurança Cibernética
JavaScript malicioso compromete 150 mil sites e redireciona para jogos de azar
Uma campanha maliciosa comprometeu cerca de 150.000 sites por meio de injeções de JavaScript, redirecionando visitantes para plataformas de jogos de azar chinesas. Administradores de sites devem adotar medidas proativas para proteger suas plataformas.
Ataque cibernético
APT36 usa site falso do India Post para espalhar malware
O grupo APT36 criou um site falso do India Post para distribuir malware em dispositivos Windows e Android. O golpe usa arquivos PDF maliciosos e um app disfarçado para roubo de dados, explorando técnicas avançadas como ClickFix para infectar vítimas.
- Exfiltração de dados: roubo de arquivos, credenciais e informações do sistema.
- Injeção de processo: execução de cargas maliciosas em processos legítimos, como mspaint.exe.
- Ataques Pass-the-Hash: comprometimento de credenciais para movimentação lateral na rede.
- Proxy de rede: criação de túneis de comunicação encobertos.
- Execução do PowerShell: rodar comandos sem acionar o powershell.exe.
Versão Linux e campanha global
Pesquisadores identificaram uma variante do FinalDraft para Linux, que se comunica via Graph API, REST API, HTTP/HTTPS e outras técnicas, demonstrando a versatilidade do malware.
A campanha, batizada de REF7707, inicialmente focada em um Ministério das Relações Exteriores da América do Sul, revelou conexões com vítimas no Sudeste Asiático, indicando uma operação global.
Análises mostraram que os invasores usaram endpoints comprometidos em provedores de telecomunicações e infraestrutura de internet, além de se apoiarem em servidores de universidades da região para hospedar cargas maliciosas.
Detecção e mitigação
As regras YARA para identificar GuidLoader, PathLoader e FinalDraft foram publicadas pelo Elastic Security Labs para auxiliar profissionais de segurança na detecção dessas ameaças emergentes.
