Caso você não saiba, um dos grupos cibercriminosos mais prolíficos do mundo é chinês: o APT41. Já como destaque por suas capacidades de ataque e longividade, a gangue foi reforçada com um novo malware que explora rotas secretas em sistemas para burlar códigos de autenticação. Os conhecidos backdoors.
O malware em questão é batizado de StealthVector. Segundo um mergulho técnico realizado pelos pesquisadores de segurança da Zscaler, o software criminoso serve como condutor para um backdoor até então nunca documentado, o MoonWalk — e, exatamente por isso, essa nova versão do malware ganhou o nome de DodgeBox.
“O DodgeBox carrega um novo backdoor chamado MoonWalk. O MoonWalk compartilha técnicas de evasão implementadas no DodgeBox e utiliza o Google Drive para comunicação de comando e controle (C2)”, explicam os pesquisadores.
As técnicas de evasão do malware envolvem: spoofing, carregamento lateral de DLL, esvaziamento de DLL e ataques às proteções de ambiente
Como explicar um backdoor de maneira simples? Imagine que a sua casa tem uma porta dos fundos que você não saiba (e ela está aberta, sem chave): você vive nessa casa todos dias de maneira insegura, com a possibilidade de sofrer uma invasão a qualquer momento.
Cibercriminosos buscam essas portas abertas e desconhecidas em sistemas para roubar dados, realizar novas infecções e praticar diversos tipos de ataques no sistema infectado.
- De maneira resumida, a ação acontece assim:
O APT41 utiliza executáveis legítimos (por exemplo, “taskhost.exe”) da solução de virtualização Sandboxie, segundo a Zscaler, para carregar lateralmente DLL malicioso (sbiedll.dll).
Então, o carregador DLL escrito em C atua como canal para descriptografar e lançar uma carga útil de MoonWalk, o backdoor.
A Zscaler ainda nota que o loader do malware emprega técnicas diversas para não sofrer detecção estática ou comportamental, burlando as proteções de sistema.
Não é de hoje que o grupo APT41 é monitorado por autoridades internacionais e pesquisadores. Ativo desde 2007, os cibercriminosos já realizaram ações sob outros codinomes, como Axiom, Bronze Atlas, TA415, Wicked Panda e outros.
Dodgebox
Se um estudo detalhado sobre o malware te interessa, você pode acompanhar a publicação da Zscaler clicando aqui.
Fontes
Categorias