Atacantes estão cada vez mais abusando de softwares de compactação legítimos e comercialmente disponíveis, como o BoxedApp, para evitar detecção e distribuir malwares, como trojans de acesso remoto e ladrões de informações.

“A maioria das amostras maliciosas atribuídas mirava instituições financeiras e indústrias governamentais”, afirmou o pesquisador de segurança da Check Point, Jiri Vinopal, em uma análise.

O volume de amostras compactadas com o BoxedApp e enviadas para a plataforma de verificação de malwares VirusTotal, de propriedade do Google, testemunhou um aumento por volta de maio de 2023, acrescentou a empresa de segurança cibernética israelense, com as submissões dos artefatos originando principalmente da Turquia, Estados Unidos, Alemanha, França e Rússia.

Entre as famílias de malwares distribuídas dessa forma estão Agent Tesla, AsyncRAT, LockBit, LodaRAT, NanoCore, Neshta, NjRAT, Quasar RAT, Ramnit, RedLine, Remcos, RevengeRAT, XWorm e ZXShell.

Os empacotadores são arquivos autoextraíveis que geralmente são usados para empacotar softwares e torná-los menores. Mas ao longo dos anos, essas ferramentas foram reaproveitadas por atacantes para adicionar outra camada de ofuscação às suas cargas de malwares na tentativa de resistir à análise.

O aumento no abuso de produtos BoxedApp, como o BoxedApp Packer e o BxILMerge, tem sido atribuído a uma variedade de benefícios que o tornam uma opção atraente para atacantes que desejam implantar malwares sem serem detectados por softwares de segurança de endpoints.

O BoxedApp Packer pode ser usado para empacotar PEs nativos e .NET, enquanto o BxILMerge – semelhante ao ILMerge – é exclusivamente destinado a empacotar aplicativos .NET.

Isso dito, aplicativos empacotados com BoxedApp, inclusive os não maliciosos, são conhecidos por sofrer uma alta taxa de falsos positivos de detecção ao serem escaneados por mecanismos antimalwares.

“Empacotar as cargas úteis maliciosas permitiu aos atacantes reduzir a detecção de ameaças conhecidas, dificultar sua análise e usar as capacidades avançadas do SDK do BoxedApp (por exemplo, Armazenamento Virtual) sem precisar desenvolvê-las do zero,”, disse Vinopal.

“As famílias de malwares como Agent Tesla, FormBook, LokiBot, Remcos, XLoader também foram propagadas usando um empacotador ilícito chamado NSIXloader que utiliza o Nullsoft Scriptable Install System (NSIS). O fato de ele ser usado para entregar um conjunto variado de cargas úteis implica que ele é comercializado e monetizado na dark web.”

“A vantagem para cibercriminosos em usar o NSIS é que ele permite criar amostras que, à primeira vista, são indistinguíveis de instaladores legítimos”, disse o pesquisador de segurança Alexey Bukhteyev.

“Como o NSIS realiza a compressão por conta própria, os desenvolvedores de malwares não precisam implementar algoritmos de compressão e descompressão. As capacidades de script do NSIS permitem a transferência de alguma funcionalidade maliciosa dentro do script, tornando a análise mais complexa.”

O desenvolvimento surge quando a equipe QiAnXin XLab revelou detalhes de outro empacotador chamado Kiteshield, que foi utilizado por vários atacantes, incluindo Winnti e DarkMosquito, para visar sistemas Linux.

O “Kiteshield é um empacotador/protegendor para binários x86-64 ELF no Linux,” afirmaram os pesquisadores do XLab.

Encontrou este artigo interessante? Siga-nos no Twitter e LinkedIn para ler mais conteúdos exclusivos que postamos.