Você está visualizando atualmente Malware Delivery Via Serviços De Nuvem Explora Truque Unicode Para Enganar Usuários

Malware Delivery Via Serviços De Nuvem Explora Truque Unicode Para Enganar Usuários

Uma nova campanha de ataque intitulada CLOUD#REVERSER foi observada utilizando serviços legítimos de armazenamento em nuvem, como Google Drive e Dropbox, para realizar payloads maliciosos.

Os pesquisadores da Securonix Den Iuzvyk, Tim Peck e Oleg Kolesnikov afirmaram em um relatório compartilhado com The Hacker News que os scripts VBScript e PowerShell no CLOUD#REVERSER envolvem atividades de comando e controle, usando Google Drive e Dropbox como plataformas de preparação para gerenciar uploads e downloads de arquivos.

O ponto de partida da cadeia de ataque é um e-mail de phishing contendo um arquivo ZIP, que contém um executável que se disfarça como um arquivo do Microsoft Excel.

Em uma reviravolta interessante, o nome do arquivo usa o caractere Unicode de substituição oculto da direita para a esquerda (RLO) para inverter a ordem dos caracteres que vem após esse caractere na cadeia.

Como resultado, o nome do arquivo “RFQ-101432620247fl*U+202E*xslx.exe” é exibido para a vítima como “RFQ-101432620247flexe.xlsx,” induzindo-os a pensar que estão abrindo um documento do Excel.

O executável é projetado para deixar o total de oito payloads, incluindo um arquivo Excel falso (“20240416.xlsx”) e um Script Visual Basic (VB) altamente ofuscado (“3156.vbs”) que é responsável por exibir o arquivo XLSX ao usuário para manter o disfarce e executar outros dois scripts chamados “i4703.vbs” e “i6050.vbs.”

Ambos os scripts são usados para configurar a persistência no host do Windows por meio de uma tarefa programada, disfarçando-os como uma tarefa de atualização do navegador Google Chrome para evitar levantar suspeitas. Dito isso, as tarefas programadas são orquestradas para executar dois scripts VB únicos chamados “97468.tmp” e “68904.tmp” a cada minuto.

Cada um desses scripts, por sua vez, é usado para executar dois scripts PowerShell diferentes “Tmp912.tmp” e “Tmp703.tmp,” que são usados para se conectar a uma conta actor-controlada do Dropbox e Google Drive e baixar mais dois scripts PowerShell denominados “tmpdbx.ps1” e “zz.ps1.”

Os scripts VB são então configurados para executar os scripts PowerShell recém-baixados e buscar mais arquivos nos serviços de nuvem, incluindo binários que podem ser executados dependendo das políticas do sistema.

O fato de os scripts PowerShell serem baixados sob demanda significa que podem ser modificados pelos atores cibernéticos à vontade para especificar os arquivos que podem ser baixados e executados no host comprometido.

Também baixado via 68904.tmp está outro script PowerShell capaz de recuperar um binário comprimido e executá-lo diretamente da memória para manter uma conexão de rede com o servidor de comando e controle (C2) do atacante.

A empresa de cibersegurança com sede no Texas disse a The Hacker News que não pode fornecer informações sobre os alvos e a escala da campanha devido ao fato de que a investigação ainda está em andamento.

O desenvolvimento é mais um sinal de que os atores cibernéticos estão cada vez mais abusando de serviços legítimos em seu favor e passando despercebidos.

“Esta abordagem segue um fio comum onde os atores de ameaças conseguem infectar e persistir em sistemas comprometidos enquanto se misturam ao ruído de fundo regular da rede,” afirmaram os pesquisadores.

“EmbedItando scripts maliciosos dentro de plataformas de nuvem aparentemente inocentes, o malware não apenas garante acesso sustentado aos ambientes visados, mas também utiliza essas plataformas como condutos para exfiltração de dados e execução de comandos.”