Uma nova campanha de ataque denominada CLOUD#REVERSER foi observada aproveitando serviços legítimos de armazenamento em nuvem como Google Drive e Dropbox para realizar payloads maliciosos.
Os scripts VBScript e PowerShell no CLOUD#REVERSER envolvem atividades semelhantes a comando e controle, utilizando Google Drive e Dropbox como plataformas de preparação para gerenciar upload e download de arquivos, disseram os pesquisadores da Securonix Den Iuzvyk, Tim Peck e Oleg Kolesnikov em um relatório compartilhado com The Hacker News.
O início da cadeia de ataque é um e-mail de phishing com um arquivo ZIP que contém um executável disfarçado de arquivo Microsoft Excel.
Em uma reviravolta interessante, o nome do arquivo usa o caractere Unicode de substituição oculto da direita para a esquerda (RLO) para inverter a ordem dos caracteres que vêm após esse caractere na sequência.
Dessa forma, o nome do arquivo “RFQ-101432620247fl*U+202E*xslx.exe” é exibido para a vítima como “RFQ-101432620247flexe.xlsx”, enganando-os para pensar que estão abrindo um documento do Excel.
O executável é projetado para soltar um total de oito payloads, incluindo um arquivo de Excel falso (“20240416.xlsx”) e um script Visual Basic (VB) fortemente obfuscado (“3156.vbs”) que é responsável por exibir o arquivo XLSX para o usuário manter a farsa e iniciar outros dois scripts chamados “i4703.vbs” e “i6050.vbs”.
Ambos os scripts são usados para estabelecer persistência no host Windows por meio de uma tarefa agendada, disfarçando-os como uma tarefa de atualização do navegador Google Chrome para evitar chamar a atenção. As tarefas agendadas são orquestradas para executar dois scripts VB únicos chamados “97468.tmp” e “68904.tmp” a cada minuto.
Esses scripts, por sua vez, são empregados para executar dois scripts PowerShell diferentes “Tmp912.tmp” e “Tmp703.tmp,” que são usados para conectar-se a uma conta de Dropbox e Google Drive controlada pelo ator e baixar mais dois scripts PowerShell chamados “tmpdbx.ps1” e “zz.ps1.”
Os scripts VB são então configurados para executar os scripts PowerShell recém-baixados e buscar mais arquivos dos serviços em nuvem, incluindo binários que poderiam ser executados, dependendo das políticas do sistema.
O fato de ambos os scripts PowerShell serem baixados on-the-fly significa que eles podem ser modificados pelos atores de ameaças à vontade para especificar os arquivos que podem ser baixados e executados no host comprometido.
Outro script PowerShell baixado via 68904.tmp é capaz de recuperar um binário comprimido e executá-lo diretamente da memória para manter uma conexão de rede com o servidor de comando e controle (C2) do atacante.
A empresa de cibersegurança sediada no Texas informou ao The Hacker News que não consegue fornecer informações sobre os alvos e a escala da campanha devido ao fato de a investigação ainda estar em andamento.
O desenvolvimento é mais um sinal de que os atores de ameaças estão cada vez mais utilizando serviços legítimos a seu favor e passando despercebidos.
“Essa abordagem segue um fio comum onde os atores de ameaças conseguem infectar e persistir nos sistemas comprometidos enquanto conseguem se misturar ao ruído de rede de fundo regular”, disseram os pesquisadores.
“Embedando scripts maliciosos em plataformas em nuvem aparentemente inofensivas, o malware não só garante acesso sustentado aos ambientes alvo, mas também utiliza essas plataformas como condutos para exfiltração de dados e execução de comandos.”
