A empresa de segurança cibernética Mandiant descobriu recentemente um ator de ameaça com motivação financeira, UNC4990, utilizando USB dispositivos para infecções iniciais. O grupo está explorando plataformas online legítimas, como GitHub, Vimeo, e Ars Technica. O agente da ameaça esconde habilmente cargas codificadas em conteúdo aparentemente benigno nessas plataformas, evitando suspeitas e aproveitando redes confiáveis de entrega de conteúdo.
Uma análise dos ataques baseados em USB UNC4990
Os invasores iniciam sua campanha por meio de dispositivos USB contendo arquivos de atalho LNK maliciosos, de acordo com o relatório. Quando as vítimas executam inadvertidamente o atalho, um script do PowerShell chamado explorer.ps1 está ativado. Este script baixa uma carga intermediária, que é decodificado em uma URL para buscar o downloader de malware chamado 'EMPTYSPACE.’
UNC4990 emprega vários métodos de hospedagem para cargas intermediárias, incluindo arquivos de texto codificados no GitHub e GitLab. Contudo, eles mudaram estratégias para abusar do Vimeo e do Ars Technica para hospedar cargas úteis de string codificadas em Base64 e criptografadas em AES. Notavelmente, os invasores não exploram vulnerabilidades nessas plataformas, mas utilizam recursos regulares, como perfis de fórum da Ars Technica e descrições de vídeos do Vimeo.
Essas cargas úteis, sequências de texto inofensivas nas plataformas de hospedagem, desempenhar um papel crítico na cadeia de ataque, facilitando o download e a execução de malware. Incorporando cargas úteis em conteúdo legítimo e usando plataformas confiáveis, UNC4990 evita suspeitas e aproveita redes confiáveis, tornando um desafio para os sistemas de segurança sinalizá-los como suspeitos.
A cadeia de ataque UNC4990 avança com a implantação do QUIETBOARD, um backdoor sofisticado com diversos recursos. Este backdoor multicomponente, uma vez ativado, executa comandos do comando e controle (C2) servidor, altera o conteúdo da área de transferência para roubo de criptomoeda, infecta unidades USB para espalhar malware, captura capturas de tela para roubo de informações, e reúne informações detalhadas do sistema e da rede. QUIETBOARD demonstra persistência nas reinicializações do sistema e suporta a adição de novas funcionalidades através de módulos extras.
Apesar das medidas convencionais de prevenção, Malware baseado em USB continua a representar uma ameaça significativa, servindo como um meio de propagação eficaz para criminosos cibernéticos. A tática única do UNC4990, aproveitando plataformas aparentemente inócuas para cargas intermediárias, desafia os paradigmas de segurança convencionais e sublinha a necessidade de vigilância contínua no cenário em constante evolução da segurança cibernética.
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga: