Novo malware abusa do Facebook, Google e outras plataformas de nuvem
Uma campanha de ciberespionagem usando um novo malware que depende do Facebook, Google Drive e Dropbox para comunicação de comando e controle foi descoberta pela empresa de segurança cibernética Cybereason.
O grupo de hackers Molerats está por trás da nova campanha que usa dois novos backdoors, chamados SharpStage e DropBook, bem como um downloader de malware anteriormente não documentado chamado MoleNet para abusar de serviços populares de computação em nuvem.
O malware é projetado para evitar a detecção usando os serviços do Dropbox e do Facebook para roubar dados e receber instruções de seus operadores. Depois que os dados são roubados dos usuários-alvo, os dois backdoors usam o Dropbox para extraí-los.
A campanha tem como alvo figuras políticas ou funcionários do governo no Oriente Médio com um e-mail atraindo-os para baixar documentos maliciosos. No entanto, o documento mostra apenas um resumo de seu conteúdo e os destinatários são então instruídos a baixar arquivos protegidos por senha armazenados no Dropbox ou Google Drive para ver todas as informações. É assim que o Molerats é capaz de infectar os usuários com seus backdoors SharpStage e DropBook, que podem baixar malwares adicionais.
Abuso de plataformas de nuvem
De acordo com um novo relatório da Equipe Nocturnus da Cybereason, o backdoor do DropBook baseado em Phyton só recebe instruções no Facebook e do aplicativo de anotações para iOS Simplenote. Os hackers são então capazes de controlar o backdoor usando comandos publicados em um post no Facebook com o Simplenote servindo como um backup.
O DropBook é capaz de verificar os programas instalados no sistema e os nomes dos arquivos, executar comandos shell do Facebook ou Simplenote e buscar cargas úteis adicionais do Dropbox. O outro SharpStage backdoor do Molerats depende de um comando tradicional e servidor de controle em oposição ao uso de serviços em nuvem para obter instruções.
Embora a Cybereason tenha descoberto três variantes do SharpStage, todas compartilham funcionalidades semelhantes, incluindo a capacidade de fazer capturas de tela, executar comandos arbitrários e descompactar dados recebidos do servidor de comando e controle. Ambos os backdoors são usados para atingir usuários que falam árabe e seu código pode verificar as máquinas comprometidas para ver se o idioma árabe está instalado.
A empresa de segurança cibernética também descobriu que Molerats está usando outro malware chamado MoleNet que pode executar comandos WMI para criar o perfil de um sistema operacional, verificar depuradores, reiniciar uma máquina a partir da linha de comando, carregar detalhes sobre o sistema operacional, buscar novas cargas e criar persistência em um sistema direcionado.
Ao usar plataformas de nuvem populares para se comunicar com seu malware, o grupo Molerats tornou suas tentativas de espionagem muito mais difíceis de detectar. Os usuários interessados podem conferir a versão completa do Cybereason Relatório Molerats in the Cloud para obter mais informações sobre as campanhas recentes do grupo, infraestrutura e malware anterior.
- Também destacamos os melhores serviços VPN
Através da BleepingComputer