Machete continua ativo e a fazer espionagem na América Latina

Uma investigação da ESET revela que os operadores por trás do malware Machete continuam ativos e a levar a cabo operações de espionagem dirigida a agências governamentais no Equador, Colômbia, Nicarágua e Venezuela.

A América Latina é frequentemente ignorada quando se trata de ameaças persistentes e grupos cujos alvos são selecionados a partir de motivações políticas. No entanto, há uma operação de espionagem informática em andamento contra organizações de alto perfil que conseguiram permanecer em sigilo. O grupo por trás desses ataques roubou gigabytes de documentos confidenciais, principalmente de agências governamentais. No momento da publicação deste post, o grupo ainda permanecia ativo, e apresentava regularmente alterações no malware, na infraestrutura e nas campanhas de spear phishing.

A ESET tem monitorizado uma nova versão do Machete (o conjunto de ferramentas do grupo baseadas em Python) vista pela primeira vez em abril de 2018. Embora a principal funcionalidade do backdoor permaneça a mesma das versões anteriores, a ameaça ganhou novas características no último ano.

Alvos de ataque

Do final de março até final de maio de 2019, os investigadores da ESET observaram que havia mais de 50 computadores comprometidos que estavam a comunicar-se ativamente com o servidor C&C. Isso equivale a gigabytes de dados roubados semanalmente. Mais de metade desses dispositivos pertenciam a agências governamentais. A maioria das organizações apontadas pelo malware Machete são de países da América Latina, como é o caso da Venezuela (75%), Equador (16%), Colômbia (7%) e Nicarágua (2%). A distribuição desse malware nesses países pode ser vista na Figura 1.

Figura 1. Países com vítimas do Machete em 2019

Os responsáveis pelo Machete

Os responsáveis pelo Machete usam técnicas eficazes de spear phishing. A sua longa série de ataques, concentrados em países da América Latina, permitiu que eles reunissem inteligência e refinassem as suas táticas ao longo dos anos. Os atacantes conhecem bem os seus alvos, como se podem esconder entre comunicações periódicas e quais os documentos que são mais valiosos para roubar. O Machete não extrai apenas documentos de escritório, mas também tipos de ficheiros especializados que são usados ​​por software de sistemas de informações geográficas (GIS)

O grupo Machete envia e-mails bastante específicos diretamente para as suas vítimas, mudando sempre de um alvo para outro. Estes e-mails contêm um link ou anexo com um ficheiro compactado de extração automática que executa o malware ao abrir um documento que funciona como um isco.

Para apanhar os seus alvos desprevenidos, os responsáveis pelo Machete usam documentos reais roubados anteriormente. A ESET viu casos em que documentos roubados datados de um determinado dia foram “empacotados” com malware e usados ​​no mesmo dia como isco para fazer novas vítimas.

O tipo de documentos usados ​​como isco são geralmente legitimamente enviados e recebidos várias vezes ao dia para as empresas escolhidas como alvos. Os hackers aproveitam-se para criar e-mails de phishing bastante convincentes.

Principais características

O grupo Machete é muito ativo e introduziu várias alterações no malware desde o lançamento de uma nova versão em abril de 2018. As versões anteriores foram descritas pela Kaspersky em 2014 e pela Cylance em 2017. Na Figura 2, mostramos os componentes para a nova versão do malware Machete.

Figura 2. Componentes do Machete

A primeira parte do ataque consiste num downloader que é apresentado como um ficheiro de extração automática, criado com o 7z SFX Builder. Depois que o ficheiro é descompactado pelo código de extração automática, o extrator abre um PDF ou documento do Microsoft Office que funciona como um isco e, de seguida, executa o downloader executável do arquivo. Este executável é outro ficheiro de extração automática que contém o binário do downloader (um componente py2exe) e um ficheiro de configuração com o URL de download, que é encriptada.

Todos os URLs de download que vimos apontam para a Dropbox ou para o Google Docs. Todos os ficheiros descarregados foram de extração automática (RAR SFX) e contêm um ficheiro de configuração (encriptado) e os componentes da backdoor (executáveis ​​py2exe). No entanto, desde maio de 2019, que os operadores do Machete pararam de usar os downloaders e começaram a incluir o ficheiro isco e os componentes da backdoor no mesmo arquivo.

Os binários do Py2exe podem ser descompilados para obter o código em Python. Além disso, todos os componentes (downloaders e backdoors) foram escondidos com pyobfuscate – algo que também foi usado em versões anteriores do malware. Na Figura 3 podemos ver parte de um desses scripts ofuscados.

Figura 3. Script ofuscado com pyobfuscate

Desde agosto de 2018, uma camada de “ofuscamento” extra foi adicionada aos componentes do Machete. Os scripts agora contêm um bloco de texto comprimido com zlib, antes da codificação em base64, que depois de decodificada, resulta num script como o da Figura 3. A primeira camada de ofuscação é criada usando o pyminifier com o parâmetro -gzip.

Componentes da backdoor

O dropper do Machete é um executável RAR SFX. Três componentes py2exe são “droppeados”: GoogleCrash.exe, Chrome.exe e GoogleUpdate.exe. Um único ficheiro de configuração é “droppeado” (jer.dll), que contém o texto codificado em base64 que corresponde a strings encriptadas com AES. Um esquema que resume os componentes pode ser visto na Figura 4.

Figura 4. Componentes da backdoor py2exe do Machete

O GoogleCrash.exe é o principal componente do malware – programa a execução dos outros dois componentes e cria tarefas no Programador de Tarefas do Windows para obter persistência.

O componente Chrome.exe é responsável por coletar dados do computador comprometido e tem a capacidade de:

  • Produzir capturas de ecrã
  • Registar as teclas digitadas
  • Aceder à área de transferência
  • Encriptar em AES e exfiltrar documentos
  • Detetar novas unidades inseridas e copiar ficheiros
  • Executar outros binários descarregados do servidor C&C
  • Obter ficheiros específicos do sistema
  • Obter dados de perfil de utilizador de vários navegadores
  • Conseguir informações sobre a localização geográfica das vítimas em redes Wi-Fi próximas
  • Realizar a exfiltração física em unidades removíveis

Os responsáveis pelo Machete estão interessados ​​em obter certos tipos de arquivos dos computadores comprometidos. Portanto, além dos documentos do Microsoft Office, os seguintes tipos de arquivos são procurados ​​nas diferentes unidades:

  • Arquivos de backup
  • Arquivos de banco de dados
  • Chaves de encriptação (PGP)
  • Documentos do OpenOffice
  • Imagens vetoriais
  • Arquivos para sistemas de informação geográfica

Com relação à localização geográfica das vítimas, o Chrome.exe coleta dados em redes Wi-Fi próximas e envia-os para a API do Serviço de Localização do Mozilla. Em resumo, essa aplicação fornece coordenadas de localização geográfica quando outras fontes de dados são fornecidas, como beacons de Bluetooth, antenas de telemóveis ou pontos de acesso Wi-Fi. De seguida, o malware usa as coordenadas de latitude e longitude para criar um URL do Google Maps. Parte do código pode ser visto na Figura 5.

Figura 5. Código para localização geográfica

A vantagem de usar o Serviço de Localização do Mozilla é que a ferramenta permite a localização geográfica sem um GPS real e pode ser mais precisa que outros métodos. Portanto, embora um endereço IP possa ser usado para obter um local aproximado, o mesmo não é tão preciso. Por outro lado, se os dados estiverem disponíveis para a área, o Serviço de Localização do Mozilla poderá fornecer informações como, por exemplo, em que prédio o alvo está localizado.

O componente GoogleUpdate.exe é responsável pela comunicação com o servidor C&C remoto. A configuração para estabelecer a ligação é lida no ficheiro jer.dll: nome de domínio, nome de utilizador e password. O principal meio de comunicação do Machete é via FTP, embora a comunicação HTTP tenha sido implementada como uma alternativa em 2019.

Este componente carrega arquivos encriptados em subdiretórios diferentes no servidor C&C, mas também recupera ficheiros específicos que os operadores do Machete colocaram no servidor. Desta forma, o malware pode atualizar tanto a sua configuração, como os seus arquivos binários maliciosos e as suas listagens de arquivos, mas também pode fazer o download e executar outros binários.

Conclusão

O grupo Machete está a operar com mais força do que nunca, mesmo depois dos investigadores publicarem descrições técnicas e indicadores de compromisso deste malware. A ESET acompanha esta ameaça há meses e tem vindo a observar várias mudanças, por vezes de caráter semanal.

No momento desta publicação, a última alteração introduzida no malware foram seis componentes da backdoor, que não são mais executáveis py2exe. Neste caso, estes são scripts Python ofuscados, um executável original do Python 2.7 e todas as bibliotecas usadas, que são empacotadas em um arquivo de extração automática.

Vários artefactos que vimos no código do Machete e na infraestrutura subjacente levam-nos a pensar que se trata de um grupo de língua espanhola. Além disso, a presença de código para exfiltrar dados para unidades removíveis quando há acesso físico a um computador comprometido pode indicar que os operadores do Machete estão presentes num dos países alvo dos seus ataques, embora não possamos ter certeza desta afirmação.

As soluções da ESET detetam esta ameaça como uma variante do Python/Machete.

DEIXE UMA RESPOSTA

Please enter your comment!
Please enter your name here

*