.
Os cibercriminosos estão disfarçando o trojan de acesso remoto PlugX como uma ferramenta legítima de depuração do Windows de código aberto para evitar a detecção e comprometer os sistemas.
Em um caso recente detalhado pela Trend Micro, os malfeitores usaram uma variante PlugX para sequestrar a popular ferramenta de depuração x64dbg para passar despercebida. O malware explora uma técnica chamada carregamento lateral de DLL que está em uso há mais de uma década. Nesse caso, o PlugX carrega uma carga maliciosa após sequestrar o x64dbg, um aplicativo de software confiável e assinado digitalmente.
“A descoberta e análise do ataque de malware usando a ferramenta de depuração de código aberto x32dbg.exe [the 32-bit debugger for x64dbg] nos mostra que o carregamento lateral de DLL ainda é usado por agentes de ameaças hoje porque é uma maneira eficaz de contornar as medidas de segurança e obter o controle de um sistema de destino”, escreveram os pesquisadores em um relatório este mês.
Mesmo com ferramentas de segurança mais avançadas, “os invasores continuam a usar essa técnica, pois ela explora uma confiança fundamental em aplicativos legítimos”, escreveram eles. “Essa técnica permanecerá viável para que os invasores distribuam malware e obtenham acesso a informações confidenciais, desde que os sistemas e aplicativos continuem confiando e carregando bibliotecas dinâmicas”.
Os analistas da Sophos em novembro de 2020 abordaram o sequestro do PlugX quando pesquisando malware que eles apelidaram de “KillSomeOne”. e a equipe da Unidade 42 de Palo Alto identificado novamente em janeiro, enquanto investigava o notório Código do ransomware Black Basta que incluía uma variante PlugX colocando arquivos maliciosos em dispositivos USB removíveis.
A ferramenta x64dbg é usada para examinar o código do modo kernel e do modo usuário, despejos de memória e registros da CPU, escreveram os pesquisadores da Trend Micro. O PlugX é um implante pós-exploração que existe desde 2008 e tem sido amplamente utilizado, inicialmente por gangues asiáticas de ameaças persistentes avançadas (APT) – particularmente aquelas ligadas à China – e posteriormente por uma gama mais ampla de grupos de ameaças.
x32dbg vem com uma assinatura digital que pode passar por muitas ferramentas de segurança. Ao sequestrá-lo, os criminosos podem estabelecer persistência no sistema comprometido e aumentar os privilégios.
Embora o carregamento lateral de DLL seja típico do comportamento do PlugX, “essa variante era única porque empregava vários componentes para executar várias funções, incluindo persistência, propagação e comunicação backdoor”, escreveram os pesquisadores da Trend Micro. ®
.