Novo kit de ataque combina cavalos de Troia e ferramentas para espalhar coinminers e roubar dados

Um novo kit de ataque movido a um malware que une dois Trojans e um coinminer para minerar dados e Monero, foi observado durante a varredura de máquinas vulneráveis ​​da China, Taiwan, Itália e Hong Kong, e se espalhou pela Internet e pelas redes locais.

Don Ovid Ladores, Michael Jhon Ofiaza e Gilbert Sison, da Trend Micro, detectaram o kit de ataque enquanto ele estava enviando arquivos aleatórios na pasta Windows de computadores que tinham a porta 445 aberta e pronta para ser comprometida com uma exploração SMB visando o  Windows Vulnerabilidade no servidor MS17-010  já corrigida em 2017.

O processo de infecção em múltiplos estágios usa o que a Trend Micro chama de Trojan.Win32.INFOSTEAL.ADS para ganhar uma posição inicial após explorar com sucesso suas vítimas, uma tensão de malware que se conectará a um servidor de comando e controle (C & C) para enviar seus mestres informações sobre o host infectado e pegar as próximas cargas de malware.

Como parte do segundo estágio de infecção, uma variante do Trojan MIMIKATZ compilada em Python será descartada e executada no sistema comprometido, com o Trojan carregando automaticamente vários módulos extras projetados para coletar e exfiltrar dados, bem como para procurar Máquinas Windows podem infectar usando um exploit para a vulnerabilidade do servidor MS17-010 SMB.

O componente MIMIKATZ também fará o download do módulo psexec do Python, que ele usa para executar comandos enviados pelos invasores remotamente, usando uma ferramenta adicional de hackers removida pelo Trojan anteriormente e detectada como HackTool.Win32.Radmin.GB pela Trend Micro.

O próximo estágio consiste em baixar e executar uma carga criptografada do coinminer Monero seguindo um comando enviado pelos agentes maliciosos através da ferramenta de hacking Radmin lançada no sistema da vítima no estágio anterior. 

Conforme detalhado pelos pesquisadores da Trend Micro :

“Suspeitamos que os criminosos cibernéticos por trás dessa implantação de malware estão desenvolvendo essa estrutura modular para infectar o maior número possível de sistemas por meio de privilégios escalonados, acesso remoto e uso de credenciais roubadas. Como o ladrão de informações é capaz de enviar informações como contas de usuário, encaminhamento de porta e especificações do sistema, e capaz de plantar a ferramenta hack para funções administrativas remotas, pode permitir que invasores acessem remotamente o sistema para iniciar mais ataques no futuro. deixada desmarcada.”

O kit de ataque foi criado usando várias ferramentas gratuitas, “de malware compilado em Python, módulos de código aberto, exploração desatualizada e hacktools freeware”, que sugere que esses atores possivelmente sejam novos na cena.

Isto também é sugerido pelo fato de que as ferramentas usadas para construir o kit de ataque são bem antigas, com o MIMIKATZ de código aberto e a ferramenta Radmin sendo bem conhecidos e facilmente detectáveis ​​pela maioria das soluções anti-malware, se não todas.

Operações semelhantes estão ativas desde 2017

No entanto, a técnica usada para propagação e os arquivos nomeados aleatoriamente adicionados aos alvos comprometidos do Windows apontam para algum nível de refinamento e ajudam a mantê-lo despercebido pelo menos até o miner começar a trabalhar e a desacelerar os sistemas das vítimas.

Como ainda é notado pela Trend Micro, os atacantes também podem aproveitar “o fato de que as empresas nesses países não podem detectar a atividade do malware, já que as datas coincidiam com festas e eventos regionais de feriados”.

Esta não é a primeira vez que ferramentas gratuitas e malwares de prateleira são usados ​​como parte de uma campanha de malware, com várias organizações financeiras na África Ocidental tendo experimentado padrões de ataque semelhantes desde pelo menos meados de 2017.

De acordo com o relatório da Symantec, durante esses ataques, os agentes de ameaças usaram uma combinação da ferramenta de teste de penetração comercial Cobalt Strike, os Trojans MIMIKATZ e NonoCore, ferramentas gratuitas de hacking e vários scripts do PowerShell.

Adriano Lopes

Adriano Lopes é o criador e proprietário do MundoHacker.net.br. Desenvolvedor Web, Hacker Ético, Programador C, Python, Especialista em Segurança da Informação.