O novo malware do Windows 10 é excelente para evitar a detecção
Os pesquisadores de segurança da Kaspersky descobriram uma nova cepa de malware desenvolvida pelo grupo de hackers de aluguel DeathStalker que foi projetada para evitar a detecção em PCs com Windows.
Embora o ator da ameaça esteja ativo pelo menos desde 2012, o DeathStalker chamou a atenção da Kaspersky pela primeira vez em 2018 por causa de suas características de ataque distintas, que não se assemelhavam às empregadas por cibercriminosos ou hackers patrocinados pelo estado.
O grupo é conhecido por usar uma ampla variedade de cepas de malware e cadeias de distribuição complexas em seus ataques, mas as táticas usadas para evitar a detecção são o que realmente o destaca.
Kaspersky descobriu o novo implante PowerPepper da DeathStalker em maio deste ano, enquanto conduzia pesquisas sobre outros ataques que utilizavam o implante PowerShell baseado em PowerShell do grupo. Desde sua descoberta, novas versões do PowerPepper foram desenvolvidas e implantadas pelo grupo, que também adaptou as cadeias de distribuição de malware para atingir novos alvos.
Malware PowerPepper
O novo malware PowerPepper é um backdoor na memória baseado no Windows PowerShell que tem a capacidade de permitir que seus operadores executem comandos shell remotamente de um servidor de comando e controle (C2).
Como é o caso do trabalho anterior de DealthStalker, o PowerPepper tenta evitar a detecção ou a execução de sandboxes no Windows 10 usando vários truques, como detectar movimentos do mouse, filtrar os endereços MAC de um cliente e adaptar seu fluxo de execução dependendo de quais produtos antivírus estão instalados em um sistema de destino . O malware é espalhado por meio de anexos de e-mail de spear phishing ou por links para documentos que contêm macros Visual Basic for Application (VBA) maliciosas que executam PowerPepper e ganham persistência em sistemas infectados.
O PowerPepper também usa uma série de truques de evasão da cadeia de entrega, como ocultar cargas em propriedades de formas incorporadas do Word, usar arquivos HTML compilados do Windows (CHM) como arquivos para arquivos maliciosos, mascarar e ofuscar arquivos persistentes, ocultar cargas em imagens usando esteganografia, se perder em Tradução de comandos do shell do Windows e execução por meio de uma execução de proxy binário assinado.
Pierre Delcher da Kaspersky forneceu mais informações sobre como o PowerPepper se comunica com seu servidor C2 em um novo relatório, dizendo:
“A lógica C2 do implante se destaca, pois é baseada na comunicação via DNS sobre HTTPS (DoH), utilizando respondentes CloudFlare. O PowerPepper primeiro tenta alavancar o Excel da Microsoft como um cliente Web para enviar solicitações DoH para um servidor C2, mas vai recorrer ao cliente Web padrão do PowerShell e, finalmente, às comunicações DNS regulares, se as mensagens não puderem ser transmitidas.
Para evitar ser vítima do PowerPepper, os usuários devem evitar abrir anexos ou clicar em links em e-mails de remetentes desconhecidos, bem como habilitar macros em documentos de fontes não verificadas.
Através da BleepingComputer