Uma nova campanha de ataque intitulada CLOUD#REVERSER foi observada utilizando serviços legítimos de armazenamento em nuvem, como Google Drive e Dropbox, para realizar payloads maliciosos.
Os pesquisadores da Securonix Den Iuzvyk, Tim Peck e Oleg Kolesnikov afirmaram em um relatório compartilhado com The Hacker News que os scripts VBScript e PowerShell no CLOUD#REVERSER envolvem atividades de comando e controle, usando Google Drive e Dropbox como plataformas de preparação para gerenciar uploads e downloads de arquivos.
O ponto de partida da cadeia de ataque é um e-mail de phishing contendo um arquivo ZIP, que contém um executável que se disfarça como um arquivo do Microsoft Excel.
Em uma reviravolta interessante, o nome do arquivo usa o caractere Unicode de substituição oculto da direita para a esquerda (RLO) para inverter a ordem dos caracteres que vem após esse caractere na cadeia.
Como resultado, o nome do arquivo “RFQ-101432620247fl*U+202E*xslx.exe” é exibido para a vítima como “RFQ-101432620247flexe.xlsx,” induzindo-os a pensar que estão abrindo um documento do Excel.
O executável é projetado para deixar o total de oito payloads, incluindo um arquivo Excel falso (“20240416.xlsx”) e um Script Visual Basic (VB) altamente ofuscado (“3156.vbs”) que é responsável por exibir o arquivo XLSX ao usuário para manter o disfarce e executar outros dois scripts chamados “i4703.vbs” e “i6050.vbs.”
Ambos os scripts são usados para configurar a persistência no host do Windows por meio de uma tarefa programada, disfarçando-os como uma tarefa de atualização do navegador Google Chrome para evitar levantar suspeitas. Dito isso, as tarefas programadas são orquestradas para executar dois scripts VB únicos chamados “97468.tmp” e “68904.tmp” a cada minuto.
Cada um desses scripts, por sua vez, é usado para executar dois scripts PowerShell diferentes “Tmp912.tmp” e “Tmp703.tmp,” que são usados para se conectar a uma conta actor-controlada do Dropbox e Google Drive e baixar mais dois scripts PowerShell denominados “tmpdbx.ps1” e “zz.ps1.”
Os scripts VB são então configurados para executar os scripts PowerShell recém-baixados e buscar mais arquivos nos serviços de nuvem, incluindo binários que podem ser executados dependendo das políticas do sistema.
O fato de os scripts PowerShell serem baixados sob demanda significa que podem ser modificados pelos atores cibernéticos à vontade para especificar os arquivos que podem ser baixados e executados no host comprometido.
Também baixado via 68904.tmp está outro script PowerShell capaz de recuperar um binário comprimido e executá-lo diretamente da memória para manter uma conexão de rede com o servidor de comando e controle (C2) do atacante.
A empresa de cibersegurança com sede no Texas disse a The Hacker News que não pode fornecer informações sobre os alvos e a escala da campanha devido ao fato de que a investigação ainda está em andamento.
O desenvolvimento é mais um sinal de que os atores cibernéticos estão cada vez mais abusando de serviços legítimos em seu favor e passando despercebidos.
“Esta abordagem segue um fio comum onde os atores de ameaças conseguem infectar e persistir em sistemas comprometidos enquanto se misturam ao ruído de fundo regular da rede,” afirmaram os pesquisadores.
“EmbedItando scripts maliciosos dentro de plataformas de nuvem aparentemente inocentes, o malware não apenas garante acesso sustentado aos ambientes visados, mas também utiliza essas plataformas como condutos para exfiltração de dados e execução de comandos.”
