Os invasores incorporaram a mineração de criptografia e o código Metasploit nos arquivos de áudio WAV com códigos maliciosos para impedir soluções de detecção de ameaças.
Todos os arquivos WAV descobertos aderem ao formato de um arquivo WAV legítimo (ou seja, todos são reproduzíveis por um reprodutor de áudio padrão), disse Josh Lemos, vice-presidente de pesquisa e inteligência do BlackBerry Cylance, à Help Net Security.
Um arquivo WAV continha música sem indicação de distorção ou corrupção e os outros continham ruído branco. Um dos arquivos WAV continha o Meterpreter para estabelecer um shell reverso para ter acesso remoto à máquina infectada. Os outros arquivos WAV contêm o minerador de criptografia XMRig Monero, continua Lemos.
Uma tática inteligente para evitar a detecção
Então, os arquivos WAV vieram acoplados a um componente do carregador, que emprega esteganografia ou algoritmo para decodificar e executar o código malicioso tecido nos dados de áudio do arquivo.
Embora a esteganografia seja frequentemente usada para ocultar dados nos arquivos de imagem, o conteúdo executável mal-intencionado pode, teoricamente, ser oculto com êxito em qualquer tipo de arquivo, desde que o invasor não corrompa a estrutura e o processamento do formato do contêiner.
Os pesquisadores disseram que as duas cargas foram descobertas no mesmo ambiente,
sugerindo uma campanha em duas frentes para implantar malware para obter ganhos financeiros e estabelecer acesso remoto na rede da vítima.
Lemos disse que os arquivos WAV foram salvos no sistema de arquivos, mas que não podem dizer com certeza como chegaram lá. O que eles sabem é que não foram baixados.
Eles foram carregados a partir do disco, às vezes executados como um argumento CMD, observou ele. Os atores de ameaças provavelmente usaram técnicas de spear-phishing para obter acesso inicial. Em seguida, eles provavelmente instalaram o shell reverso (Loader e WAV com Meterpreter) para baixar os outros carregadores e arquivos WAV.
Uma conexão shell reversa envolve a máquina do invasor agindo como servidor e sendo alcançável pela Internet, e a máquina da vítima agindo como cliente e iniciando uma conexão com ele.
Notícias Relacionadas
No entanto, os pesquisadores disseram que o código de shell decodificado de dois arquivos WAV revelou um código surpreendentemente semelhante ao código reverso Metasploit TCP e HTTPS reverso.
Nos dois casos, o código de shell tenta uma conexão com o endereço IP 94.249.192.103. A conexão TCP reversa ocorre na porta 3527, enquanto a conexão HTTPS reversa ocorre na porta 443, eles compartilharam.
Quem está por trás dos arquivos WAV com códigos maliciosos?
Não é a primeira vez que arquivos WAV são encontrados carregando cargas maliciosas.
Vários grupos do Panda [APT] usaram esse formato para ocultar os detalhes, carregadores e cargas úteis dos servidores C2, observou Lemos.
No início deste ano, a Symantec também analisou algumas cargas ocultas em arquivos WAV usando esteganografia, que se acredita serem usadas pelo grupo de espionagem Turla/Waterbug.
Contudo, é difícil dizer se esta instância mais recente está de alguma forma conectada com as anteriores. Dado que o objetivo do compromisso é a mineração clandestina clandestina, parece mais provável que esses sejam atores que simplesmente buscam dinheiro.
As semelhanças entre esses métodos e os TTPs de agentes de ameaças conhecidos podem indicar uma associação ou vontade de imitar a atividade adversa, talvez para evitar a atribuição direta, apontaram os pesquisadores.
Através deste artigo, viu-se que invasores estão utilizando arquivos WAV com códigos maliciosos para mineração de criptografia, uma tática inteligente para evitar a detecção.
Via: Help Net Security
