Um novo carregador de malware em ascensão.
A Hp Threat Research divulgou um novo relatório detalhando um novo carregador. Os pesquisadores observam novas campanhas de spam malicioso desde o final de abril 2022, distribuir um malware anteriormente desconhecido, chamado SVCReady. O carregador é distribuído de forma incomum – via shellcode oculto nas propriedades dos documentos do Microsoft Office. Pelo que a equipe de pesquisa de ameaças descobriu, parece que o malware ainda está em desenvolvimento, com várias atualizações feitas em maio.
Uma olhada no carregador de malware SVCReady
Na campanha analisada, os invasores enviaram anexos .doc por e-mail. Esses documentos contêm o Visual Basic for Applications (VBA) Macros AutoOpen necessárias para executar código malicioso. Contudo, os documentos não usam PowerShell ou MSHTA para baixar outras cargas da web. Ao invés de, a macro VBA executa o shellcode armazenado nas propriedades do documento, que então descarta e executa o malware SVCReady, o relatório observou.
Quanto ao malware em si, é capaz de coletar informações do sistema, como nome de usuário, nome do computador, fuso horário, e se a máquina está associada a um domínio. Também faz consultas ao Registro, especificamente o HKEY_LOCAL_MACHINEHARDWAREDESCRIPTIONSystem chave, para obter detalhes sobre o fabricante do computador, BIOS e firmware. Outros detalhes que o SVCReady coleta incluem listas de processos em execução e software instalado. A coleta de informações é feita por meio de chamadas de API do Windows, em vez do consultador de Instrumentação de Gerenciamento do Windows. Todos os detalhes coletados são formatados como JSON e enviados para o servidor C2 por meio de uma solicitação HTTP POST.
A comunicação com o servidor de comando e controle é feita por HTTP, mas os dados em si são criptografados através da cifra RC4. Vale ressaltar também que o malware tenta alcançar a persistência:
Depois de exfiltrar informações sobre o PC infectado, o malware tenta alcançar a persistência no sistema. Os autores do malware provavelmente pretendiam copiar a DLL do malware para o diretório Roaming, dando-lhe um nome exclusivo com base em um UUID recém-gerado. Mas parece que eles não conseguiram implementar isso corretamente porque rundll32.exe é copiado para o diretório Roaming em vez da DLL SVCReady.
Um malware de acompanhamento também foi entregue
Outro malware é distribuído como uma carga útil de acompanhamento após a infecção inicial – o ladrão RedLine. “Naquela época, o formato de comunicação C2 não era criptografado. Pode ser que esta campanha tenha sido um teste dos operadores do SVCReady. No momento da escrita, ainda não recebemos mais cargas de malware desde então,”O relatório concluiu.
Outros exemplos de carregadores de malware descobertos recentemente incluem ChromeLoader e BumbleBee.