{"id":19855,"date":"2023-08-21T13:43:16","date_gmt":"2023-08-21T16:43:16","guid":{"rendered":"https:\/\/www.ethicalhacker.com.br\/site\/?p=19855"},"modified":"2023-08-21T13:43:25","modified_gmt":"2023-08-21T16:43:25","slug":"injector-freeze-rs-utilizado-em-ataques-maliciosos-com-malware-xworm","status":"publish","type":"post","link":"https:\/\/www.ethicalhacker.com.br\/site\/2023\/08\/basico\/injector-freeze-rs-utilizado-em-ataques-maliciosos-com-malware-xworm\/","title":{"rendered":"Injector Freeze[.]rs utilizado em ataques maliciosos com malware XWorm"},"content":{"rendered":"\n

Atacantes maliciosos est\u00e3o mais uma vez demonstrando sua capacidade de adapta\u00e7\u00e3o ao transformar uma ferramenta relativamente nova no mundo das amea\u00e7as cibern\u00e9ticas em uma arma poderosa para lan\u00e7ar ataques com o malware XWorm. Esse ataque sofisticado envolve a explora\u00e7\u00e3o do injector Freeze[.]rs, uma ferramenta baseada em Rust projetada para fins leg\u00edtimos, e sua convers\u00e3o em um instrumento formid\u00e1vel para iniciar ataques de malware XWorm. Essa cadeia de ataque complexa, inicialmente identificada pelos Laborat\u00f3rios Fortinet FortiGuard em 13 de julho de 2023, destaca a crescente engenhosidade dos cibercriminosos na invas\u00e3o de ambientes das v\u00edtima.<\/p>\n

\u00a0<\/p>\n

A Revela\u00e7\u00e3o da cadeia de ataque<\/h2>\n

\u00a0<\/p>\n

Essa campanha maliciosa come\u00e7a com um e-mail de phishing contendo um arquivo PDF aparentemente inofensivo, que sem o conhecimento do destinat\u00e1rio guarda uma armadilha. O ataque ent\u00e3o prossegue usando v\u00e1rias t\u00e9cnicas para introduzir o infame malware XWorm no sistema da v\u00edtima. \u00c9 importante notar que essa mesma cadeia de ataque tamb\u00e9m foi empregada para distribuir o RAT (Trojan de Acesso Remoto) Remcos, aproveitando um crypter conhecido como SYK Crypter.<\/p>\n

\u00a0<\/p>\n

T\u00e1ticas de phishing e execu\u00e7\u00e3o<\/h2>\n

\u00a0<\/p>\n

Cara Lin, uma pesquisadora de seguran\u00e7a diligente lan\u00e7a luz sobre o intrincado processo de execu\u00e7\u00e3o: “Ao interagir com o arquivo PDF, um arquivo HTML \u00e9 acionado. Esse arquivo HTML usa o protocolo ‘search-ms’ para acessar um arquivo LNK hospedado em um servidor remoto.” O destinat\u00e1rio, ao clicar inadvertidamente no arquivo LNK, desencadeia uma s\u00e9rie de a\u00e7\u00f5es maliciosas orquestradas pelos atacantes.<\/p>\n

A central para essa orquestra\u00e7\u00e3o maliciosa utiliza um script PowerShell. Este script \u00e9 respons\u00e1vel por conduzir a implanta\u00e7\u00e3o tanto do Freeze[.]rs quanto do SYK Crypter, estabelecendo assim o cen\u00e1rio para as manobras ofensivas subsequentes.<\/p>\n

\u00a0<\/p>\n

A ascens\u00e3o do Freeze[.]rs<\/h2>\n

\u00a0<\/p>\n

O Freeze[.]rs, apresentado ao p\u00fablico em 4 de maio de 2023, inicialmente parecia ser uma promissora ferramenta de teste de penetra\u00e7\u00e3o de c\u00f3digo aberto desenvolvida pela Optiv. No entanto, nas m\u00e3os dos atacantes maliciosos, suas capacidades foram modificadas para fins mais sinistros. Essa ferramenta, originalmente projetada para cria\u00e7\u00e3o de payloads, facilita a contornar solu\u00e7\u00f5es de seguran\u00e7a e a execu\u00e7\u00e3o sorrateira de shellcode.<\/p>\n

A documenta\u00e7\u00e3o no GitHub revela que o Freeze[.]rs emprega uma s\u00e9rie de t\u00e9cnicas para atingir seus objetivos. Notavelmente, ele se destaca na remo\u00e7\u00e3o de ganchos de EDR (Detec\u00e7\u00e3o e Resposta em Endpoints) no Userland, garantindo que ele permane\u00e7a fora do alcance dos controles de monitoramento de endpoin.<\/p>\n

\u00a0<\/p>\n

\"XWorm<\/a><\/div>\n

\u00a0<\/p>\n

As intrinc\u00e2ncias do SYK Crypter<\/h2>\n

\u00a0<\/p>\n

Por outro lado, o SYK Crypter desempenha um papel crucial nessa cadeia de ataque agindo como um ve\u00edculo para entregar uma variedade de fam\u00edlias de malware, incluindo mas n\u00e3o se limitando ao AsyncRAT, NanoCore RAT, njRAT, QuasarRAT, RedLine Stealer e Warzone RAT (tamb\u00e9m conhecido como Ave Maria). Essa ferramenta \u00e9 distribu\u00edda por meio de um carregador .NET anexado a e-mails aparentemente inofensivos, disfar\u00e7ados de ordens de compra inofensivas. T\u00e1ticas t\u00e3o sofisticadas tornam a detec\u00e7\u00e3o e mitiga\u00e7\u00e3o ainda mais desafiadoras.<\/p>\n

\u00a0<\/p>\n

Desmascarando a complexidade do ataque<\/h2>\n

\u00a0<\/p>\n

Hido Cohen, um pesquisador da Morphisec, explora as intrinc\u00e2ncias desse ataque: “A cadeia de ataque exibe tra\u00e7os de persist\u00eancia, camadas de obfusca\u00e7\u00e3o e polimorfismo para evitar mecanismos de detec\u00e7\u00e3o.” Essa complexidade \u00e9 ainda ampliada pela manipula\u00e7\u00e3o do manipulador de protocolo URI “search-ms”, uma t\u00e9cnica recentemente enfatizada pela Trellix. O ataque se aproveita dessa manipula\u00e7\u00e3o para realizar buscas em um servidor remoto, apresentando arquivos maliciosos como resultados de busca locais.<\/p>\n

\u00a0<\/p>\n

XWorm e Remcos liberados<\/h2>\n

\u00a0<\/p>\n

Nas etapas culminantes desse ataque, o shellcode injetado ganha vida, facilitando a execu\u00e7\u00e3o do trojan de acesso remoto XWorm. Esse trojan \u00e9 projetado para infiltrar sistemas comprometidos, coletar dados sens\u00edveis (que variam de informa\u00e7\u00f5es da m\u00e1quina a capturas de tela e pressionamentos de tecla) e conceder ao atacante o controle remoto sobre o dispositivo da v\u00edtima.<\/p>\n

\u00a0<\/p>\n

Alvos globais e weaponiza\u00e7\u00e3o r\u00e1pida<\/h2>\n

\u00a0<\/p>\n

A r\u00e1pida ado\u00e7\u00e3o desse programa com apenas tr\u00eas meses de idade serve como um lembrete contundente da agilidade e da capacidade de recursos dos atacantes maliciosos. Al\u00e9m disso, o foco geogr\u00e1fico desse ataque \u00e9 evidente nos padr\u00f5es de tr\u00e1fego do servidor de Comando e Controle (C2), com a Europa e a Am\u00e9rica do Norte identificadas como alvos principais.<\/p>\n

\u00a0<\/p>\n

Uma perspectiva mais ampla<\/h2>\n

\u00a0<\/p>\n

Interessantemente, essa descoberta est\u00e1 alinhada com revela\u00e7\u00f5es recentes da Trellix\u00a0 jogando luz sobre outra campanha do XWorm. Essa campanha utiliza e-mails de engenharia social com anexos que se passam por faturas e ordens de compra. Os setores-alvo incluem servi\u00e7os, transporte e sa\u00fade em pa\u00edses como EUA, Coreia do Sul, Alemanha, \u00c1ustria e Ar\u00e1bia Saudita.<\/p>\n

A campanha explora notavelmente URLs do blogspot.com para propagar scripts e c\u00f3digo PowerShell, permitindo efetivamente o download e a execu\u00e7\u00e3o de cargas adicionais, garantindo a persist\u00eancia. A pr\u00f3pria carga do XWorm \u00e9 fortemente obfuscada, adicionando uma camada extra de complexidade \u00e0 sua an\u00e1lise.<\/p>\n

\u00a0<\/p>\n

Vigil\u00e2ncia em um cen\u00e1rio de evolu\u00e7\u00e3o<\/h2>\n

\u00a0<\/p>\n

O surgimento de campanhas de ataque desse tipo destaca a import\u00e2ncia fundamental de medidas s\u00f3lidas de ciberseguran\u00e7a. \u00c0 medida que os atacantes continuam a evoluir suas t\u00e1ticas e explorar at\u00e9 mesmo ferramentas leg\u00edtimas para prop\u00f3sitos nefastos, as organiza\u00e7\u00f5es devem permanecer vigilantes, atualizando constantemente suas defesas para combater o cen\u00e1rio de amea\u00e7as em constante mudan\u00e7a.<\/p>\n

A r\u00e1pida weaponiza\u00e7\u00e3o (guerrilhas informacionais) do Freeze[.]rs serve como um lembrete marcante de que a batalha pela seguran\u00e7a digital \u00e9 cont\u00ednua e exige adapta\u00e7\u00e3o e prepara\u00e7\u00e3o constantes.<\/p>\n

\u00a0<\/p>\n

Fonte: https:\/\/thehackernews.com\/2023\/08\/new-attack-alert-freezers-injector.html<\/a><\/p>\n

\u00a0<\/p>\n

\u00a0<\/p>\n\n\n\n\n","protected":false},"excerpt":{"rendered":"

Atacantes maliciosos est\u00e3o mais uma vez demonstrando sua capacidade de adapta\u00e7\u00e3o ao transformar uma ferramenta relativamente nova no mundo das amea\u00e7as cibern\u00e9ticas em uma arma poderosa para lan\u00e7ar ataques com o malware XWorm. Esse ataque sofisticado envolve a explora\u00e7\u00e3o do injector Freeze[.]rs, uma ferramenta baseada em Rust projetada para fins leg\u00edtimos, e sua convers\u00e3o em […]<\/p>\n","protected":false},"author":2,"featured_media":19856,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[89,100,105],"tags":[],"class_list":["post-19855","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-basico","category-diversos","category-noticias"],"_links":{"self":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts\/19855","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/comments?post=19855"}],"version-history":[{"count":6,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts\/19855\/revisions"}],"predecessor-version":[{"id":19862,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts\/19855\/revisions\/19862"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/media\/19856"}],"wp:attachment":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/media?parent=19855"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/categories?post=19855"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/tags?post=19855"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}