Os pesquisadores identificaram dois sites de phishing - um falsificando uma página da Cisco e o outro disfarçado de site Grammarly - que os agentes de ameaças estão usando para distribuir um malware particularmente pernicioso conhecido como "DarkTortilla".
O malware baseado em .NET pode ser configurado para fornecer várias cargas úteis e é conhecido por funções que o tornam extremamente furtivo e persistente nos sistemas que compromete.
Vários grupos de ameaças têm usado o DarkTortilla desde pelo menos 2015 para eliminar ladrões de informações e cavalos de Tróia de acesso remoto, como AgentTesla, AsyncRAT e NanoCore. Alguns grupos de ransomware também – como os operadores do Babuk – usaram o DarkTortilla como parte de sua cadeia de entrega de carga útil. Em muitas dessas campanhas, os invasores usaram principalmente anexos de arquivos maliciosos (.zip, .img, .iso) em e-mails de spam para envolver usuários desavisados no malware.
Entrega do DarkTortilla por meio de sites de phishing
Recentemente, pesquisadores do Cyble Research and Intelligence Labs identificaram uma campanha maliciosa em que os agentes de ameaças estão usando dois sites de phishing, disfarçados de sites legítimos, para distribuir o malware. Cyble supôs que os operadores da campanha provavelmente estão usando e-mail de spam ou anúncios online para distribuir links para os dois sites.
Os usuários que seguem o link para o site falsificado do Grammarly acabam baixando um arquivo malicioso chamado “GnammanlyInstaller.zip” quando clicam no botão “Get Grammarly”. O arquivo .zip contém um instalador malicioso disfarçado como um executável Grammarly que instala um segundo executável .NET criptografado de 32 bits. Isso, por sua vez, baixa um arquivo DLL criptografado de um servidor remoto controlado pelo invasor. O executável .NET descriptografa o arquivo DLL criptografado e o carrega na memória do sistema comprometido, onde executa uma variedade de atividades maliciosas, disse Cyble.
Enquanto isso, o site de phishing da Cisco parece uma página de download da tecnologia Secure Client VPN da Cisco. Mas quando um usuário clica no botão para “pedir” o produto, ele acaba baixando um arquivo VC++ malicioso de um servidor remoto controlado por um invasor. O malware desencadeia uma série de ações que terminam com o DarkTortilla instalado no sistema comprometido.
Cyble's analise de carga mostrou as funções de compactação de malware para persistência, injeção de processo, verificação de antivírus e máquina virtual/sandbox, exibição de mensagens falsas e comunicação com seu servidor de comando e controle (C2) e download de cargas úteis adicionais dele.
Os pesquisadores da Cyble descobriram que, para garantir a persistência em um sistema infectado, por exemplo, o DarkTortilla coloca uma cópia de si mesmo na pasta de inicialização do sistema e cria entradas de registro Run/Winlogin. Como um mecanismo de persistência adicional, o DarkTortilla também cria uma nova pasta chamada “system_update.exe” no sistema infectado e se copia para a pasta.
Malware sofisticado e perigoso
Enquanto isso, a funcionalidade de mensagens falsas do DarkTortilla basicamente serve mensagens para induzir as vítimas a acreditar que o aplicativo Grammarly ou Cisco que eles queriam não foi executado porque certos componentes de aplicativos dependentes não estavam disponíveis em seu sistema.
“O malware DarkTortilla é um malware baseado em .NET altamente sofisticado que tem como alvo usuários em estado selvagem”, disseram os pesquisadores da Cyble em um comunicado na segunda-feira. “Os arquivos baixados dos sites de phishing exibem diferentes técnicas de infecção, indicando que os [agentes de ameaças] possuem uma plataforma sofisticada capaz de personalizar e compilar o binário usando várias opções”.
O DarkTortilla, como mencionado, geralmente atua como um carregador de primeiro estágio para malware adicional. Pesquisadores da Secureworks' Counter Threat Unit no início deste ano identificaram agentes de ameaças usando DarkTortilla para distribuir em massa uma ampla variedade de malware, incluindo Remcos, BitRat, WarzoneRat, Snake Keylogger, LokiBot, QuasarRat, NetWire e DCRat.
Eles também identificaram alguns adversários usando o malware em ataques direcionados para entregar Ataque de cobalto e kits de ataque pós-compromisso Metasploit. Na época, a Secureworks disse que havia contado pelo menos 10,000 amostras únicas de DarkTortilla desde que detectou pela primeira vez um agente de ameaça usando o malware em um ataque direcionado a uma vulnerabilidade crítica de execução remota de código do Microsoft Exchange (CVE-2021-34473) ano passado.
A Secureworks avaliou o DarkTortilla como muito perigoso devido ao seu alto grau de configurabilidade e ao uso de ferramentas de código aberto como CofuserEX e DeepSea para ofuscar seu código. O fato de a carga útil principal do DarkTortilla ser executada inteiramente na memória é outro recurso que torna o malware perigoso e difícil de detectar, observou a Secureworks na época.
- blockchain
- carteiras de criptomoeda
- cryptoexchange
- cíber segurança
- cibercriminosos
- Cíber segurança
- Leitura escura
- Departamento de Segurança Interna
- carteiras digitais
- firewall
- Kaspersky
- malwares
- Mcafee
- NexBLOC
- platão
- platão ai
- Inteligência de Dados Platão
- Jogo de Platão
- PlatãoData
- jogo de platô
- VPN
- a segurança do website
