Uma sofisticada nova ciberataque foi observada direcionada a endpoints geolocalizados na Ucrânia, com o objetivo de implantar Cobalt Strike e tomar o controle dos hosts comprometidos. A cadeia de ataque, de acordo com o Fortinet FortiGuard Labs, envolve um arquivo do Microsoft Excel que carrega uma macro VBA embutida para iniciar a infecção. “O atacante usa uma estratégia de malware de várias etapas para entregar a notória carga útil ‘Cobalt Strike’ e estabelecer comunicação com um servidor de comando e controle (C2)”, disse a pesquisadora de segurança Cara Lin em um relatório na segunda-feira. “Esse ataque emprega várias técnicas de evasão para garantir a entrega bem-sucedida da carga útil.”

O Cobalt Strike, desenvolvido e mantido pela Fortra, é uma ferramenta legítima de simulação de adversários usada para operações de red teaming. No entanto, ao longo dos anos, versões crackeadas do software têm sido extensivamente exploradas por agentes maliciosos para fins maliciosos. O ponto de partida do ataque é o documento do Excel que, ao ser aberto, exibe conteúdo em ucraniano e insta a vítima a “Ativar Conteúdo” para ativar as macros. Vale ressaltar que a Microsoft bloqueou macros por padrão no Microsoft Office a partir de julho de 2022.

Uma vez que as macros são habilitadas, o documento supostamente mostra conteúdo relacionado ao valor dos fundos alocados para unidades militares, enquanto, nos bastidores, a macro codificada em HEX implanta um downloader baseado em DLL via o utilitário de registro servidor (regsvr32). O downloader ofuscado monitora os processos em execução relacionados ao Antivírus Avast e ao Process Hacker e termina imediatamente se detectar um deles.

Pressupondo que nenhum processo desse tipo seja identificado, ele se comunica com um servidor remoto para buscar a próxima carga útil codificada, mas somente se o dispositivo em questão estiver localizado na Ucrânia. O arquivo decodificado é uma DLL que é principalmente responsável por lançar outro arquivo DLL, um injetor crucial para extrair e executar o malware final. O procedimento de ataque culmina na implantação de um Beacon Cobalt Strike que estabelece contato com um servidor C2 (“simonandschuster[.]shop”).

“Ao implementar verificações baseadas na localização durante os downloads de carga útil, o atacante visa mascarar atividades suspeitas, potencialmente iludindo a análise”, disse Lin. “Usando strings codificadas, o VBA oculta strings de importação cruciais, facilitando a implantação de arquivos DLL para persistência e descriptografando cargas úteis subsequentes.”

“Além disso, o recurso de autodeleção auxilia táticas de evasão, enquanto o injetor de DLL emprega táticas de retardamento e termina processos pai para evitar a criação de sandbox e mecanismos anti-depuração, respectivamente.”