{"id":11275,"date":"2020-06-18T13:10:23","date_gmt":"2020-06-18T16:10:23","guid":{"rendered":"https:\/\/www.ethicalhacker.com.br\/site\/?p=11275"},"modified":"2020-06-18T13:11:34","modified_gmt":"2020-06-18T16:11:34","slug":"malware-comrat-usa-o-gmail-para-receber-comandos-e-extrair-dados","status":"publish","type":"post","link":"https:\/\/www.ethicalhacker.com.br\/site\/2020\/06\/exploits\/malware-comrat-usa-o-gmail-para-receber-comandos-e-extrair-dados\/","title":{"rendered":"Malware ComRAT usa o Gmail para receber comandos e extrair dados"},"content":{"rendered":"

Os pesquisadores de seguran\u00e7a cibern\u00e9tica descobriram hoje uma nova vers\u00e3o avan\u00e7ada do backdoor ComRAT, um dos primeiros backdoors conhecidos usados \u200b\u200bpelo grupo Turla APT, que aproveita a interface da web do Gmail para receber secretamente comandos e filtrar dados confidenciais.<\/p>\n

 <\/p>\n

“O ComRAT v4 foi visto pela primeira vez em 2017 e conhecido ainda em uso em janeiro de 2020”, disse a empresa de seguran\u00e7a cibern\u00e9tica ESET em um relat\u00f3rio compartilhado com o The Hacker News. “Identificamos pelo menos tr\u00eas metas: dois Minist\u00e9rios das Rela\u00e7\u00f5es Exteriores na Europa Oriental e um parlamento nacional na regi\u00e3o do C\u00e1ucaso.”<\/p>\n

 <\/p>\n

Turla, tamb\u00e9m conhecida como Snake, est\u00e1 em atividade h\u00e1 mais de uma d\u00e9cada, com uma longa hist\u00f3ria das campanhas de esgoto e ca\u00e7a submarina contra embaixadas e organiza\u00e7\u00f5es militares pelo menos desde 2004.<\/p>\n

 <\/p>\n

A plataforma de espionagem do grupo come\u00e7ou como Agent.BTZ, em 2007, antes de evoluir para o ComRAT, al\u00e9m de ganhar recursos adicionais para obter persist\u00eancia e roubar dados de uma rede local.<\/p>\n

 <\/p>\n

Sabe-se agora que as vers\u00f5es anteriores do Agent.BTZ foram respons\u00e1veis \u200b\u200bpor infectar as redes militares dos EUA no Oriente M\u00e9dio em 2008. Nos \u00faltimos anos, diz-se que Turla esteve por tr\u00e1s do compromisso das For\u00e7as Armadas Francesas em 2018 e do Minist\u00e9rio das Rela\u00e7\u00f5es Exteriores da \u00c1ustria. este ano.<\/p>\n

 <\/p>\n

<\/a><\/div>\n

 <\/p>\n

 <\/p>\n

As vers\u00f5es mais recentes do backdoor do ComRAT abandonaram o Agent. O mecanismo de infec\u00e7\u00e3o por USB-stick da BTZ em favor de se injetar em todos os processos da m\u00e1quina infectada e executar sua carga \u00fatil principal em “explorer.exe”.<\/p>\n

 <\/p>\n

O que h\u00e1 de novo no ComRAT v4?<\/strong><\/p>\n

 <\/p>\n

O ComRAT v4 (ou “Chinch” dos autores de malware), como \u00e9 chamado o novo sucessor, usa uma base de c\u00f3digo totalmente nova e \u00e9 muito mais complexa do que suas variantes anteriores, de acordo com a ESET. A empresa disse que a primeira amostra conhecida do malware foi detectada em abril de 2017.<\/p>\n

 <\/p>\n

O ComRAT \u00e9 normalmente instalado via PowerStallion, um backdoor leve do PowerShell usado pela Turla para instalar outros backdoors. Al\u00e9m disso, o carregador do PowerShell injeta um m\u00f3dulo chamado orquestrador ComRAT no navegador da Web, que emprega dois canais diferentes – um modo herdado e um email – para receber comandos de um servidor C2 e filtrar informa\u00e7\u00f5es para os operadores.<\/p>\n

 <\/p>\n

“O principal uso do ComRAT \u00e9 descobrir, roubar e exfiltrar documentos confidenciais”, disseram os pesquisadores. “Em um caso, seus operadores implantaram um execut\u00e1vel .NET para interagir com o banco de dados MS SQL Server central da v\u00edtima, contendo os documentos da organiza\u00e7\u00e3o.”<\/p>\n

 <\/p>\n

<\/a><\/div>\n
<\/div>\n
<\/div>\n

Al\u00e9m disso, todos os arquivos relacionados ao ComRAT, com exce\u00e7\u00e3o da DLL do orquestrador e da tarefa agendada para persist\u00eancia, s\u00e3o armazenados em um sistema de arquivos virtual (VFS).<\/p>\n

 <\/p>\n

O modo “email” funciona lendo o endere\u00e7o de email e os cookies de autentica\u00e7\u00e3o localizados no VFS, conectando-se \u00e0 visualiza\u00e7\u00e3o HTML b\u00e1sica do Gmail e analisando a p\u00e1gina HTML da caixa de entrada (usando o analisador HTML Gumbo) para obter a lista de emails com linhas de assunto que correspondem \u00e0queles em um arquivo “subject.str” no VFS.<\/p>\n

 <\/p>\n

Para cada email que atenda aos crit\u00e9rios acima, o comRAT continua baixando os anexos (por exemplo, “document.docx”, “documents.xlsx”) e excluindo os emails para evitar process\u00e1-los pela segunda vez.<\/p>\n

 <\/p>\n

Apesar do formato “.docx” e “.xlsx” nos nomes dos arquivos, os anexos n\u00e3o s\u00e3o documentos em si, mas blobs de dados criptografados que incluem um comando espec\u00edfico a ser executado: ler \/ gravar arquivos, executar processos adicionais e coletar logs .<\/p>\n

 <\/p>\n

No est\u00e1gio final, os resultados da execu\u00e7\u00e3o do comando s\u00e3o criptografados e armazenados em um anexo (com a extens\u00e3o dupla “.jpg.bfe”), que \u00e9 enviada como um email para um endere\u00e7o de destino especificado em “answer_addr.str” Arquivo VFS.<\/p>\n

 <\/p>\n

O modo “legado”, por outro lado, utiliza a infraestrutura C2 j\u00e1 existente (ComRAT v3.x) para emitir comandos remotos, cujos resultados s\u00e3o compactados e transmitidos para um servi\u00e7o de nuvem como o Microsoft OneDrive ou 4Shared.<\/p>\n

 <\/p>\n

Os dados filtrados incluem detalhes do usu\u00e1rio e arquivos de log relacionados \u00e0 seguran\u00e7a para verificar se suas amostras de malware foram detectadas durante uma varredura dos sistemas infectados.<\/p>\n

 <\/p>\n

Com base nos padr\u00f5es de distribui\u00e7\u00e3o de e-mail do Gmail durante um per\u00edodo de um m\u00eas, a ESET disse que os operadores por tr\u00e1s da campanha est\u00e3o trabalhando nos fusos hor\u00e1rios UTC + 3 ou UTC + 4.<\/p>\n

 <\/p>\n

“A vers\u00e3o quatro do ComRAT \u00e9 uma fam\u00edlia de malware totalmente renovada, lan\u00e7ada em 2017”, disse o pesquisador da ESET, Matthieu Faou. “Seus recursos mais interessantes s\u00e3o o sistema de arquivos virtual no formato FAT16 e a capacidade de usar a interface do usu\u00e1rio da web do Gmail para receber comandos e filtrar dados. Dessa forma, \u00e9 poss\u00edvel ignorar alguns controles de seguran\u00e7a porque n\u00e3o depende de nenhum dom\u00ednio malicioso. “<\/p>\n

 <\/p>\n

Este artigo \u00e9 uma tradu\u00e7\u00e3o de: https:\/\/thehackernews.com\/2020\/05\/gmail-malware-hacker.html<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

Os pesquisadores de seguran\u00e7a cibern\u00e9tica descobriram hoje uma nova vers\u00e3o avan\u00e7ada do backdoor ComRAT, um dos primeiros backdoors conhecidos usados \u200b\u200bpelo grupo Turla APT, que aproveita a interface da web do Gmail para receber secretamente comandos e filtrar dados confidenciais.   “O ComRAT v4 foi visto pela primeira vez em 2017 e conhecido ainda em […]<\/p>\n","protected":false},"author":2,"featured_media":11284,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[89,100,21,105,99],"tags":[],"class_list":["post-11275","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-basico","category-diversos","category-exploits","category-noticias","category-novidades"],"_links":{"self":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts\/11275","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/comments?post=11275"}],"version-history":[{"count":8,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts\/11275\/revisions"}],"predecessor-version":[{"id":11285,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts\/11275\/revisions\/11285"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/media\/11284"}],"wp:attachment":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/media?parent=11275"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/categories?post=11275"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/tags?post=11275"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}