Pesquisadores de segurança cibernética detalharam o funcionamento interno de um carregador altamente evasivo chamado “in2al5d p3in4er” que é usado para fornecer o malware ladrão de informações Aurora Stealer.
O carregador in2al5d p3in4er é compilado com o Embarcadero RAD Studio e tem como alvo as estações de trabalho de endpoint usando uma técnica avançada anti-VM (máquina virtual).
Empresa de segurança cibernética Morphisec
Malware Aurora Stealer
O Aurora é um ladrão de informações baseado em Go que surgiu no cenário de ameaças no final de 2022. Oferecido como um malware de commodity para outros atores, é distribuído por meio de vídeos do YouTube e sites de download de software crackeado falsos preparados para SEO. Clicar nos links presentes nas descrições de vídeo do YouTube redireciona a vítima para sites falsos, onde são induzidos a baixar o malware sob o disfarce de um utilitário aparentemente legítimo.
O carregador analisado pelo Morphisec foi projetado para consultar o ID do fornecedor da placa gráfica instalada em um sistema e compará-lo com um conjunto de IDs de fornecedores autorizados (AMD, Intel ou NVIDIA). Se o valor não corresponder, o carregador será encerrado.
O carregador finalmente descriptografa a carga útil final e a injeta em um processo legítimo chamado “sihost.exe” usando uma técnica chamada esvaziamento de processo. Como alternativa, alguns exemplos de carregador também alocam memória para gravar a carga útil descriptografada e invocá-la a partir daí.
Durante o processo de injeção, todas as amostras do carregador resolvem as APIs do Win necessárias dinamicamente e descriptografam esses nomes usando uma chave XOR: ‘in2al5d p3in4er’.
Arnold Osipov e Michael Dereviashkin, pesquisadores de segurança
Outro aspecto crucial do carregador é o uso do Embarcadero RAD Studio para gerar executáveis para várias plataformas, permitindo assim que ele evite a detecção. As descobertas mostram que os agentes de ameaças por trás do in2al5d p3in4er estão aproveitando métodos de engenharia social para uma campanha de alto impacto que emprega o YouTube como um canal de distribuição de malware e direciona os espectadores a sites falsos de aparência convincente para distribuir o malware ladrão.
O desenvolvimento ocorre quando a Intel 471 desenterrou outro carregador de malware, o AresLoader, que é comercializado por US$ 300/mês (cerca de R$ 1.504,00) como um serviço para criminosos para empurrar ladrões de informações disfarçados de software popular usando uma ferramenta de fichário. Suspeita-se que o carregador tenha sido desenvolvido por um grupo ligado ao hacktivismo russo.
Algumas das famílias de malware proeminentes espalhadas usando o AresLoader desde janeiro de 2023 incluem Aurora Stealer, Laplas Clipper, Lumma Stealer, Stealc e SystemBC.