.
O SafeBreach Labs diz que detectou um novo backdoor totalmente indetectável (FUD) do PowerShell, que questiona a precisão da nomenclatura das ameaças.
Mais significativamente, o malware pode fazer backdoor no seu sistema Windows disfarçando-se como parte do processo de atualização.
Tomer Bar, diretor de pesquisa de segurança da SafeBreach, explica em um consultivo que o software desagradável e o back-end de comando e controle (C2) associado parecem ter sido desenvolvidos por um canalha desconhecido competente – embora não experiente o suficiente para evitar erros que permitiram aos pesquisadores do SafeBreach descobrir o que estava acontecendo, claro.
“O ataque começa com um documento malicioso do Word, que inclui uma macro que lança um script PowerShell desconhecido”, disse Bar. “O nome do documento do Word é ‘Formulário de inscrição[.]documento.’”
De acordo com Bar, o documento malicioso do Word foi carregado da Jordânia em 25 de agosto de 2022.
O arquivo parece ter feito parte de uma campanha de phishing projetada para se parecer com uma oferta de emprego baseada no LinkedIn, a fim de atrair as vítimas a abri-lo. A marca teria que permitir que a macro no documento do Word fosse executada para que uma infecção fosse bem-sucedida.
Solicitado a fornecer mais detalhes, um porta-voz da SafeBreach disse: “Não temos informações adicionais sobre os alvos, mas acreditamos que este é um ataque direcionado sofisticado, possivelmente relacionado às tentativas de phishing direcionadas a candidatos a emprego”.
Cerca de 100 vítimas teriam sido afetadas.
“A macro cai updater.vbscria uma tarefa agendada fingindo ser parte de uma atualização do Windows, que executará o script updater.vbs de uma pasta de atualização falsa em '%appdata%localMicrosoftWindows“, explicou Barra.
o updater.vbs script, em seguida, executa um script do PowerShell que abre um backdoor de controle remoto na caixa.
Segundo Bar, antes de executar a tarefa agendada, o malware cria dois scripts do PowerShell, Script.ps1 e Temp.ps1. Seu conteúdo é ofuscado e armazenado em caixas de texto dentro do arquivo do Word e é salvo no diretório de atualização falso. Como tal, os scripts não são detectados no VirusTotal.
Script.ps1 chama o servidor C2 para atribuir um número de ID de vítima e buscar comandos para execução. Ele executa o Temp.ps1 script, que armazenará informações ou executará comandos do PowerShell dependendo dos parâmetros passados pelo script inicial.
De acordo com Bar, o invasor errou ao emitir identificadores de vítimas em uma sequência previsível. Isso permitiu que os pesquisadores de segurança desenvolvessem um script que apresentasse o identificador de cada vítima ao sistema back-end, para que pudessem registrar as interações com o servidor C2 em uma captura de pacotes. Depois disso, eles puderam usar uma segunda ferramenta para extrair os comandos criptografados dos pacotes capturados e decifrar o que o malware estava fazendo.
A Microsoft mudou recentemente o comportamento padrão dos aplicativos do Office para bloquear macros em arquivos baixados da internet, algo anteriormente possível por meio de uma política da Central de Confiabilidade.
Perguntamos ao SafeBreach se isso poderia oferecer alguma proteção.
“Sim, se as macros estiverem desabilitadas, esse vetor de ataque não funcionará”, disse um porta-voz. “Mas se o agente da ameaça usar um vetor de ataque diferente (exploras, por exemplo, em vez de macros), o malware FUD PowerShell funcionaria e espionaria a vítima.” ®
.
