Um grupo de cibercriminosos, apelidado "TheWizards" e alegadamente alinhado com interesses chineses, está a utilizar uma funcionalidade da rede IPv6 para executar ataques do tipo adversary-in-the-middle (AitM). O objetivo é intercetar e manipular atualizações de software para distribuir malware em sistemas Windows.
A descoberta foi feita pela ESET, que indica que o grupo está ativo desde, pelo menos, 2022. As suas operações têm visado entidades e indivíduos nas Filipinas, Camboja, Emirados Árabes Unidos, China e Hong Kong, incluindo empresas do setor do jogo e outras organizações.
Abuso da configuração automática IPv6 (SLAAC)
O ataque recorre a uma ferramenta personalizada, batizada de "Spellbinder" pela ESET. Este software explora a funcionalidade de Autoconfiguração de Endereço Stateless do IPv6 (SLAAC). O SLAAC permite que os dispositivos numa rede configurem automaticamente os seus próprios endereços IP e gateway padrão sem necessidade de um servidor DHCP, utilizando para isso mensagens de Router Advertisement (RA) enviadas por routers compatíveis com IPv6.
A ferramenta Spellbinder abusa deste mecanismo ao enviar mensagens RA falsificadas na rede local. Isto leva os sistemas próximos com IPv6 ativo a autoconfigurar um novo endereço IPv6, novos servidores DNS e um novo gateway IPv6 preferencial. Crucialmente, este novo gateway é o endereço IP da máquina onde corre o Spellbinder, permitindo aos atacantes intercetar todas as comunicações de rede.
"O Spellbinder envia um pacote RA multicast a cada 200 ms para ff02::1 ('todos os nós'); as máquinas Windows na rede com IPv6 ativado irão autoconfigurar-se via SLAAC usando a informação fornecida na mensagem RA, e começar a enviar tráfego IPv6 para a máquina que executa o Spellbinder, onde os pacotes serão intercetados, analisados e respondidos quando aplicável", explica a ESET.
Implementação do Spellbinder e o backdoor WizardNet
Segundo a ESET, o Spellbinder é tipicamente implementado através de um ficheiro arquivo chamado AVGApplicationFrameHostS.zip. Este ficheiro extrai o seu conteúdo para uma diretoria que imita uma instalação legítima de software: %PROGRAMFILES%\AVG Technologies.
Dentro desta diretoria encontram-se os ficheiros AVGApplicationFrameHost.exe, wsc.dll, log.dat, e uma cópia legítima do winpcap.exe. É este último executável (WinPcap) que é usado para carregar lateralmente (side-loading) a DLL maliciosa wsc.dll, que por sua vez carrega o Spellbinder para a memória do sistema.
Uma vez ativo, o Spellbinder começa a capturar e analisar o tráfego de rede, procurando especificamente por tentativas de ligação a domínios associados a servidores de atualização de software populares na China. A ESET refere que o malware monitoriza domínios pertencentes a empresas como Tencent, Baidu, Xunlei, Youku, iQIYI, Kingsoft, Mango TV, Funshion, Yuodao, Xiaomi, PPLive, Meitu, Quihoo 360 e Baofeng.
Quando deteta estes pedidos, a ferramenta redireciona-os para servidores controlados pelos atacantes, levando ao download e instalação de atualizações maliciosas que contêm um backdoor denominado "WizardNet". Este backdoor garante aos atacantes acesso persistente ao dispositivo infetado, permitindo-lhes instalar malware adicional conforme necessário.
Como proteger-se
Para mitigar o risco deste tipo de ataques, a ESET recomenda que as organizações monitorizem o tráfego IPv6 nas suas redes. Em ambientes onde o protocolo IPv6 não seja estritamente necessário, desativá-lo pode ser uma medida de segurança eficaz.
Este incidente recorda outros ataques semelhantes, como o reportado também pela ESET em janeiro, onde outro grupo de hackers, denominado "Blackwood", sequestrou a funcionalidade de atualização do software WPS Office para distribuir malware.
Aplicações TugaTech
Discord do TugaTech
RSS do TugaTech
Speedtest Tugatech
Host TugaTech
