.
MuddyWater, uma equipe de espionagem cibernética apoiada pelo governo iraniano, atualizou seu malware com um backdoor personalizado, que é usado para atingir organizações israelenses.
A gangue foi ligada ao Ministério de Inteligência e Segurança do Irã (MOIS), que os EUA sancionaram em 2022 em resposta aos seus ataques contra a Albânia e outras “atividades cibernéticas contra os Estados Unidos e seus aliados”.
A MuddyWater se juntou a uma campanha aparentemente anti-Israel que envolveu vários grupos iranianos após os ataques liderados pelo Hamas em 7 de outubro de 2023. Desde então, ela passou para campanhas de phishing que implantam um novo backdoor – chamado BugSleep – de acordo com a Check Point Research.
As iscas de phishing da gangue têm usado ultimamente convites para participar de webinars e aulas online. Desde fevereiro, a Check Point documentou mais de 50 desses e-mails enviados a centenas de indivíduos em dez setores da economia israelense.
“Entre elas estão campanhas de phishing notáveis direcionadas a municípios israelenses, bem como a um grupo mais amplo de companhias aéreas, agências de viagens e jornalistas”, escreveu a equipe de inteligência de ameaças da Check Point em um relatório na segunda-feira.
Os e-mails eram normalmente enviados de contas de e-mail organizacionais comprometidas, o que ajuda a enganar os usuários para abri-los. E enquanto a maioria tinha como alvo empresas de Israel, outros eram enviados para empresas na Turquia, Arábia Saudita, Índia e Portugal.
Os e-mails incluem um link que leva a um subdomínio da plataforma legítima de compartilhamento de arquivos e colaboração Egnyte.com. Quando os usuários clicam no link de phishing, eles veem o nome de uma empresa ou pessoa legítima, o que dá credibilidade ao golpe.
“Em um link enviado para uma empresa de transporte na Arábia Saudita, o nome exibido do proprietário era Khaled Mashal, ex-chefe do Hamas e um de seus líderes proeminentes”, escreveu a Check Point Research.
Nos ataques direcionados a municípios israelenses, os e-mails promoviam um aplicativo municipal inexistente “projetado para automatizar tarefas, aumentar a eficiência e garantir a máxima segurança nas operações”.
Clicar no link, no entanto, não baixa um aplicativo. Em vez disso, ele instala o BugSleep na máquina da vítima.
Este novo malware personalizado “substitui parcialmente” o uso de ferramentas legítimas de monitoramento e gerenciamento remoto da MuddyWater. “Descobrimos várias versões do malware sendo distribuídas, com diferenças entre cada versão mostrando melhorias e correções de bugs (e às vezes criando novos bugs)”, sugeriu a Check Point. Esta tática também torna mais difícil para o software de segurança captar assinaturas do código de ataque.
Os caçadores de ameaças analisaram ainda mais o malware e o descreveram assim:
As amostras analisadas pela Check Point criaram diversas tarefas agendadas diferentes, acionadas a cada 30 minutos, o que também garante persistência no dispositivo infectado.
Isso inclui enviar arquivos roubados para o servidor de controle e comando, gravar conteúdo em um arquivo, excluir tarefas e criar novas, e atualizar o tempo de suspensão e o valor de tempo limite.
Uma das amostras analisadas inclui métodos para ajudar o malware a escapar da detecção por ferramentas de detecção de endpoint:
Outra versão do malware também inclui um carregador de shellcode personalizado.
E enquanto a equipe continua a se concentrar em setores específicos em suas campanhas de malware, essa mudança de iscas personalizadas para outras mais genéricas também tornará mais fácil para os espiões cibernéticos se concentrarem em ataques de maior volume, alertou a Check Point. ®
.
