Os pesquisadores de segurança acabam de descobrir um novo ataque sem arquivo que explora o relatório de erros do Microsoft Windows (WHO).
O grupo de hackers por trás do chamado ataque Kraken ainda não foi identificado.
Os pesquisadores de segurança Hossein Jazi e Jérôme Segura dizem que o ataque se baseia em malware escondido em executáveis baseados em WER. Desta forma, passa despercebido sem criar suspeitas.
Explicação do Ataque Sem Arquivo Kraken
O ataque é iniciado por um documento de phishing atraente em um arquivo .ZIP, intitulado “Compensation manual.doc.” Como visto em muitos ataques de phishing, o documento afirma conter informações sobre os direitos de compensação do funcionário. Contudo, se um funcionário de uma organização o abrir, eles irão acionar uma macro maliciosa. Ativar macros é um dos truques mais antigos em campanhas maliciosas baseadas em phishing.
Nesse caso, a macro utiliza uma versão customizada do módulo CactusTorch VBA que inicia um ataque sem arquivo por meio de código de shell. CactusTorch então baixa um binário compilado .Net, apelidado de Kraken.dll, que é carregado na memória e executado via VBScript. A carga injeta um shellcode incorporado no arquivo WerFault.exe, que está conectado ao serviço WER da Microsoft. O shellcode também faz uma solicitação HTTP para um domínio codificado, talvez feito para baixar malware adicional.
“Relatório de erros do Windows (WHO) é uma infraestrutura flexível de feedback baseada em eventos projetada para coletar informações sobre os problemas de hardware e software que o Windows pode detectar, relatar as informações à Microsoft, e fornecer aos usuários todas as soluções disponíveis,” Microsoft diz.
Usualmente, quando um usuário do Windows vê o WerFault.exe em execução, eles podem pensar que ocorreu algum erro. Contudo, neste caso particular, a execução deste arquivo significa um ataque de malware direcionado. Vale ressaltar que a mesma técnica foi implantada pelo NetWire RAT e Cerber ransomware.
Outras atividades maliciosas vistas nesta campanha sem arquivo incluem ofuscação de código, DLL operando em vários threads, sondando ambientes de sandbox e depurador, e a varredura do registro para máquinas virtuais VMWare disponíveis ou Oracle VirtualBox. Além disso, se alguma atividade de análise for localizada, eles serão encerrados.
Atacantes desconhecidos estão por trás dos ataques sem arquivo do Kraken
Porque o URL de destino codificado do malware foi removido enquanto os pesquisadores faziam a análise, atualmente é impossível atribuir o ataque a um determinado grupo de ameaças. Contudo, alguns elementos do ataque Kraken são uma reminiscência do OceanLotus, um grupo APT vietnamita.
O malware OceanLotus Tenho me concentrado em infectar redes específicas em campanhas de ataque direcionado. O coletivo criminoso por trás disso realiza campanhas contra empresas corporativas e agências governamentais na Ásia: Laos, Camboja, Vietnã, e as filipinas. O que se sabe sobre estes ataques particulares é que eles são orquestrados por um grupo de hackers muito experiente.
Por que malware sem arquivo?
A ideia por trás malwares fileless é simples: se as ferramentas já existem em um dispositivo, como PowerShell.exe, para cumprir os objetivos de um invasor, então, por que abandonar ferramentas personalizadas que podem ser sinalizadas como malware? Se um cibercriminoso pode assumir um processo, executar código em seu espaço de memória, e usar esse código para chamar ferramentas que já estão em um dispositivo, o ataque se torna furtivo e quase impossível de detectar.