Uma nova campanha de phishing foi identificada utilizando temas fiscais como isca para entregar um backdoor furtivo, em ataques direcionados ao Paquistão.
A empresa de cibersegurança Securonix, que acompanha essa atividade sob o nome FLUX#CONSOLE, acredita que o ataque começa com um link de e-mail phishing ou anexo. No entanto, o e-mail original utilizado não pôde ser obtido.
“Um dos aspectos mais notáveis da campanha é como os invasores utilizam arquivos MSC (Microsoft Common Console Document) para implantar um carregador e um dropper de dupla função, entregando cargas maliciosas adicionais”, explicaram os pesquisadores Den Iuzvyk e Tim Peck.
O uso malicioso de arquivos MSC especialmente criados para executar código foi apelidado de GrimResource pelo Elastic Security Labs.
O ponto inicial do ataque é um arquivo com dupla extensão (por exemplo, .pdf.msc), que se disfarça como um arquivo PDF (caso a exibição de extensões de arquivos esteja desativada). Quando aberto no Microsoft Management Console (MMC), ele executa um código JavaScript embutido.
Esse código é responsável por recuperar e exibir um arquivo de isca, enquanto, de forma oculta, carrega um arquivo DLL malicioso (DismCore.dll). Um dos documentos usados na campanha foi nomeado “Reduções de Impostos, Reembolsos e Créditos 2024”, que é um documento legítimo associado ao Federal Board of Revenue (FBR) do Paquistão.
Além disso, o arquivo .MSC executa códigos adicionais ao se conectar a um arquivo HTML remoto, reforçando a entrega da carga maliciosa. Segundo os pesquisadores, a persistência do malware é garantida através de tarefas agendadas no sistema infectado.
A carga principal é um backdoor capaz de estabelecer comunicação com um servidor remoto, executar comandos e exfiltrar dados dos sistemas comprometidos. A Securonix informou que o ataque foi interrompido 24 horas após a infecção inicial.
Ainda não está claro quem está por trás dessa campanha de malware, embora o grupo Patchwork já tenha utilizado documentos fiscais semelhantes do FBR em dezembro de 2023.
“Desde o JavaScript altamente ofuscado nos estágios iniciais até o código malicioso profundamente escondido no DLL, a cadeia de ataque exemplifica as complexidades na detecção e análise de códigos maliciosos modernos”, disseram os pesquisadores.
Outro aspecto importante da campanha é a exploração de arquivos MSC, que representa uma evolução dos arquivos LNK clássicos, populares entre os invasores nos últimos anos. Assim como os LNK, os MSC permitem a execução de códigos maliciosos disfarçados em fluxos de trabalho administrativos legítimos do Windows.
Via - THN
Comments