Um novo cluster de ameaças, apelidado de Void Arachne, está atingindo usuários de chineses. Esta campanha utiliza arquivos maliciosos do Windows Installer (MSI) para redes virtuais privadas (VPNs) a fim de entregar um sofisticado framework de comando e controle (C&C) conhecido como Winos 4.0.
De acordo com um relatório técnico recente dos pesquisadores da Trend Micro, Peter Girnus, Aliakbar Zahravi e Ahmed Mohamed Ibrahim, a campanha utiliza arquivos MSI comprometidos, incorporados com:
Nudificadores
Software de geração de pornografia deepfake
Tecnologias de voz e facial baseadas em IA
A distribuição do malware emprega táticas de envenenamento de otimização de motores de busca (SEO), além de plataformas de mídia social e mensagens.
A Trend Micro identificou esse grupo de hackers no início de abril de 2024. Os ataques envolvem a publicidade de softwares populares como Google Chrome, LetsVPN, QuickVPN e um pacote de idioma do Telegram para chinês simplificado. Esses são usados para distribuir o malware Winos. Cadeias de ataque alternativas utilizam instaladores backdoored em canais do Telegram com temática em língua chinesa.
Os hackers utilizam táticas de SEO black hat para direcionar os usuários para sua infraestrutura, onde distribuem os instaladores comprometidos em arquivos ZIP. Para ataques direcionados a canais do Telegram, os instaladores MSI e arquivos ZIP são hospedados diretamente na plataforma de mensagens.
Um aspecto interessante desta campanha é o uso de um pacote malicioso do idioma chinês, que cria uma superfície de ataque significativa. Outros tipos de software incluem ferramentas para gerar vídeos pornográficos deepfake não consensuais para golpes de sextorsão, tecnologias de IA para sequestro virtual e ferramentas de alteração de voz e troca de rostos.
Os instaladores modificam as regras de firewall para listar o tráfego associado ao malware nas redes públicas. Eles também implantam um carregador que descriptografa e executa um payload de segunda fase na memória. Esse payload lança um script Visual Basic (VBS) para estabelecer persistência no host, acionando um script em lote desconhecido e entregando o framework C&C Winos 4.0 por meio de um stager que estabelece comunicações C&C com um servidor remoto.
Escrito em C++, o Winos 4.0 é projetado para capacidades extensivas, incluindo:
Gerenciamento de arquivos
Ataques de negação de serviço distribuídos (DDoS) usando TCP/UDP/ICMP/HTTP
Pesquisa em disco
Controle de webcam
Captura de tela
Gravação de microfone
Keylogging
Acesso remoto ao shell
A complexidade do backdoor é sublinhada por seu sistema baseado em plugins, composto por 23 componentes dedicados para variantes de 32 e 64 bits. Os hackers podem aumentar suas capacidades com plugins externos conforme necessário.
O componente principal do Winos 4.0 inclui métodos para detectar softwares de segurança prevalentes na China. Ele atua como o orquestrador principal, responsável por carregar plugins, limpar logs do sistema e baixar e executar payloads adicionais de URLs especificadas.
Os pesquisadores da Trend Micro observam que a conectividade com a internet na China é fortemente regulada pelo Grande Firewall. Esse controle estrito aumentou o interesse público em serviços de VPN, usados para evitar a censura. Consequentemente, os hackers estão explorando esse interesse crescente para distribuir malware disfarçado como software de VPN.
Void Arachne representa uma ameaça sofisticada e multifacetada, mirando usuários chineses. Ao utilizar técnicas avançadas e explorar o interesse público em VPNs, esse grupo de hackers representa um risco significativo. Vigilância e medidas robustas de cibersegurança são essenciais para se defender contra ataques tão complexos.
Via - THN
Opmerkingen