Os pesquisadores de segurança detectaram uma nova campanha de malware em massa associada ao carregador Manuscrpypt anteriormente conhecido, que faz parte do arsenal do grupo Lazarus APT. A descoberta vem da Lista Segura da Kaspersky.
"Curiosamente, o canal de exfiltração de dados do malware usa uma implementação do protocolo KCP que antes era visto à solta apenas como parte do conjunto de ferramentas do grupo APT41. Chamamos o malware recém-identificado de PseudoManuscrypt,”Pesquisadores da Lista Segura disseram.
O que é malware PseudoManuscrypt?
O carregador de malware detectado recentemente usa um MaaS (malwares-as-a-service) plataforma para distribuir suas cargas maliciosas em arquivos de instaladores de software pirateados. Uma maneira de o malware se distribuir em um sistema é por meio do conhecido botnet Glupteba. Uma vez que Glupteba e PseudoManuscrypt dependem de software pirata para se propagar, os pesquisadores acreditam que a campanha não é direcionada e é em grande escala.
De janeiro 2020 a novembro 10 2021, mais que 35,000 instâncias do malware foram bloqueadas em computadores em todo o mundo. Deve-se notar que este tipo de ataque não é típico para o grupo Lazarus APT, mais conhecido por seus ataques direcionados.
Quem é o alvo? Os alvos do malware PseudoManuscrypt incluem um grande número de organizações industriais e governamentais, como empresas no complexo militar-industrial e laboratórios de pesquisa, o relatório disse.
A telemetria revela que pelo menos 7.2% de todas as máquinas comprometidas pelo malware PseudoManuscrypt fazem parte de sistemas de controle industrial (ICS) que as organizações usam em vários setores, como engenharia, Automação Predial, Energia, Manufatura, Construção, Serviços de utilidade pública, e Gestão da Água.
Qual é o propósito do PseudoManuscrypt? O módulo principal de malware parece ter sido projetado para várias funcionalidades de spyware. É capaz de coletar dados de conexão VPN, registrar as teclas digitadas, capturando screenshots e vídeos, gravando som com o microfone, roubando dados da área de transferência e dados de log de eventos do sistema operacional, entre outros. Em poucas palavras, os invasores podem ter controle total do sistema comprometido.
FinSpy é outro spyware altamente capaz
Em setembro 2021, outro spyware altamente capaz foi detectado à solta pela Kaspersky. Os pesquisadores vinham acompanhando o desenvolvimento do FinSpy desde 2011, com uma diminuição inexplicável em sua taxa de detecção para Windows em 2018. Foi quando a equipe começou a detectar instaladores suspeitos de aplicativos legítimos, backdoor com um downloader ofuscado relativamente pequeno.
FinSpy foi descrito como um spyware altamente modular, que tem muito trabalho colocado em. Os atores da ameaça por trás dele não medem esforços para torná-lo inacessível aos pesquisadores de segurança. Este esforço é preocupante e impressionante. A mesma quantidade de esforço foi colocada na ofuscação, anti-análise, e o próprio trojan.