Pesquisadores da Sophos publicaram uma pesquisa que identificou atividades maliciosas de sideload de DLL, que adicionam complexidade e camadas ao cenário de sideload. Segundo a publicação, o ataque é baseado em modificações feitas nos componentes de um clássico ataque de sideloading, que consiste em um aplicativo legítimo, um loader malicioso e um payload criptografado, tendo sido observado o carregamento de dois aplicativos legítimos para então o loader ser executado. O grupo de adversário associado com esses ataques foi o APT-Q-27, ou operação Dragon Breath, tendo sido observado utilizando essa tática diversas vezes. Por fim, os pesquisadores descrevem que as campanhas originais visavam usuários do Windows falantes de chinês envolvidos em jogos de azar online e que os vetores iniciais de infecção foram distribuídos via Telegram. Há indícios que os adversários pretendem expandir a operação para atingir alvos nas Filipinas, Japão, Taiwan, Cingapura e Hong Kong.
Fonte: Sophos
Comments