Você está visualizando atualmente Malware Entregue via Serviços na Nuvem Explora Truque de Unicode para Enganar Usuários

Malware Entregue via Serviços na Nuvem Explora Truque de Unicode para Enganar Usuários

Uma nova campanha de ataque chamada CLOUD#REVERSER foi observada usando serviços legítimos de armazenamento em nuvem como o Google Drive e o Dropbox para apresentar payloads maliciosos.

Os pesquisadores da Securonix Den Iuzvyk, Tim Peck e Oleg Kolesnikov, afirmaram em um relatório compartilhado com o The Hacker News que os scripts VBScript e PowerShell no CLOUD#REVERSER envolvem atividades semelhantes a comando e controle, usando o Google Drive e o Dropbox como plataformas de estagem para gerenciar uploads e downloads de arquivos.

A cadeia de ataque começa com um e-mail de phishing contendo um arquivo ZIP, que contém um executável disfarçado de arquivo do Microsoft Excel.

Em uma reviravolta interessante, o nome do arquivo utiliza o caractere Unicode de substituição de direita para esquerda (RLO) para inverter a ordem dos caracteres e enganar a vítima.

O executável é projetado para soltar oito payloads, incluindo um arquivo Excel falso (“20240416.xlsx”) e um Script Visual Basic (VB) fortemente obfuscado (“3156.vbs”), que é responsável por exibir o arquivo XLSX ao usuário para manter o disfarce e lançar outros dois scripts chamados “i4703.vbs” e “i6050.vbs”.

Ambos os scripts são usados para estabelecer persistência no host do Windows por meio de uma tarefa agendada, disfarçando-se como uma tarefa de atualização do navegador Google Chrome para evitar chamar atenção. As tarefas agendadas são orquestradas para rodar dois scripts VB únicos chamados “97468.tmp” e “68904.tmp” a cada minuto.

Cada um desses scripts, por sua vez, é usado para rodar dois scripts PowerShell diferentes (“Tmp912.tmp” e “Tmp703.tmp”), que conectam-se a contas controladas pelo atacante no Dropbox e Google Drive e baixam mais dois scripts PowerShell chamados “tmpdbx.ps1” e “zz.ps1”.

Os scripts VB são configurados para rodar os scripts PowerShell recém-baixados e buscar mais arquivos dos serviços de nuvem, incluindo binários que podem ser executados dependendo das políticas do sistema.

Os pesquisadores afirmaram que o fato de ambos os scripts PowerShell serem baixados dinamicamente permite que os atacantes os modifiquem à vontade para especificar os arquivos que podem ser baixados e executados no host comprometido.

Também baixado via 68904.tmp está outro script PowerShell capaz de recuperar um binário compactado e executá-lo diretamente da memória para manter uma conexão de rede com o servidor de comando e controle (C2) do atacante.

A empresa de cibersegurança com sede no Texas informou ao The Hacker News que não pode fornecer informações sobre os alvos e a escala da campanha devido ao fato de que a investigação ainda está em andamento.

Este desenvolvimento é mais uma indicação de que os atores de ameaças estão cada vez mais abusando de serviços legítimos em seu proveito e conseguindo passar despercebidos.

“Este método segue um padrão comum no qual os atores de ameaças conseguem infectar e persistir em sistemas comprometidos, mantendo-se camuflados no ruído de rede de fundo regular,” afirmaram os pesquisadores.

Se achou esse artigo interessante, siga-nos no Twitter e LinkedIn para ler mais conteúdo exclusivo que postamos.