Mosquito: Uma backdoor perigosa de um grupo igualmente perigoso

0

Os investigadores da ESET descobriram que o Turla, o notório grupo de espionagem informática, adicionou uma nova arma ao arsenal que está a ser utilizado em novas campanhas dirigidas a embaixadas e consulados nos estados pós-soviéticos. Esta nova ferramenta tenta enganar as vítimas na instalação de malware que, em última instância, tem como objetivo deitar a mão às informações confidenciais dos seus alvos.

O grupo utilizou há muito tempo a engenharia social para levar as vítimas a executarem falsos instaladores do Adobe Flash Player. No entanto, não cruzou os braços e continua a inovar, conforme demonstra a mais recente investigação da ESET.

Não só este grupo passou a incluir as suas backdoors juntamente com um instalador legítimo do Flash Player, como agora garante que os URLs e os endereços IP que utiliza correspondem aparentemente à infra-estrutura legítima da Adobe. Ao fazê-lo, os atacantes abusam essencialmente do nome da Adobe para enganar os utilizadores e os levarem a efetuar o download de malware. As vítimas acabam por acreditar que a única coisa que estão a descarregar é um software autêntico a partir de adobe.com. Infelizmente, nada poderia estar mais longe da verdade.

As campanhas que têm vindo a alavancar a nova ferramenta desde julho de 2016, possuem várias características associadas ao grupo, incluindo o Mosquito, uma backdoor que se acredita ter sido desenvolvida por este grupo. A nova ferramenta maliciosa também partilha algumas semelhanças com outras famílias de malware que são espalhadas pelo grupo.

Vetores de Ataque

Os investigadores da ESET apresentaram várias hipóteses (mostradas na Figura 1) acerca de como o malware relacionado com o grupo Turla pode chegar ao computador da vítima através de um novo método. O que é importante assinalar é que nada disto está relacionado com a Adobe. O malware Turla não contaminou quaisquer atualizações legítimas do Flash Player, nem está associado a nenhuma vulnerabilidade conhecida dos produtos Adobe. A possibilidade de comprometer o site de download do Adobe Flash Player também foi praticamente descartada.

Os possíveis vetores de ataque que os investigadores consideraram são:

Uma máquina dentro da rede da organização da vítima poderia ser sequestrada para que atuasse como intermediária num ataque local Man-in-the-Middle (MitM).
Os atacantes também podem comprometer o gateway de rede de uma organização, permitindo que interceptem todo o tráfego de entrada e saída entre a intranet dessa organização e a internet.
A interceptação do tráfego também pode ocorrer ao nível dos provedores de serviço de Internet (ISPs), uma tática que – como evidenciado pela investigação da ESET ao FinFisher – não é inédita.
Os atacantes poderiam ter-se apropriado do Border Gateway Protocol (BGP) para reencaminhar o tráfego para um servidor controlado pela Turla.

Uma vez que o instalador do Flash falso é descarregado e executado, é instalada uma das muitas backdoors. Pode ser a Mosquito, que é uma parte de malware Win32, um ficheiro de JavaScript malicioso que comunica com uma app Web hospedada no Google Apps Script ou um ficheiro desconhecido e descarregado a partir de um URL falso.

Posteriormente chega o objetivo principal da missão – exfiltração de dados confidenciais. Esta informação inclui o ID exclusivo da máquina comprometida, o nome de utilizador e a lista de produtos de segurança instalados no dispositivo. ‘Somente’ o nome de utilizador e o nome do dispositivo são exfiltrados pela Backdoor Snake no macOS.

Na parte final do processo, o instalador falso descarrega e executa a versão legítima do Adobe Flash Player.

As backdoors

Os investigadores ESET encontraram in-the-wild, novas amostras da backdoor conhecida por Mosquito. As estirpes mais recentes estão mais ofuscadas com o que parece ser um encriptador personalizado, para tornar a análise mais difícil, tanto para investigadores de malware, como para o código do software de segurança.

Para estar no sistema de forma persistente, o instalador mexe no registo do sistema operativo. Em paralelo, cria também uma conta administrativa que permite o acesso remoto.

A principal backdoor CommanderDLL possui a extensão .pdb e utiliza um algoritmo de encriptação personalizado que pode executar determinadas ações predefinidas. A backdoor regista tudo o que o utilizador faz na máquina comprometida num determinado ficheiro encriptado.

DEIXE UMA RESPOSTA

Please enter your comment!
Please enter your name here

*