Um grupo de hackers patrocinado pelo estado iraniano, conhecido como MuddyWater, lançou uma vasta campanha de ciberespionagem que visou mais de 100 entidades governamentais. A operação utilizou uma nova versão da backdoor Phoenix para se infiltrar nos sistemas e roubar informação sensível.
Segundo um relatório da empresa de cibersegurança Group-IB, a campanha teve início a 19 de agosto, com os atacantes a utilizarem uma conta comprometida, acedida através de um serviço de VPN, para enviar emails de phishing. Os alvos principais foram embaixadas, missões diplomáticas, ministérios de negócios estrangeiros e consulados, localizados maioritariamente no Médio Oriente e Norte de África.
O regresso dos ataques com macros
Para esta campanha, o grupo MuddyWater, também identificado como Static Kitten ou Seedworm, recorreu a uma técnica que já foi mais popular no passado: a utilização de documentos Word com código malicioso. Os emails de phishing continham anexos que, ao serem abertos, instruíam as vítimas a "ativar conteúdo". Esta ação executava uma macro que instalava um carregador de malware conhecido como "FakeUpdate".
Este método era comum há vários anos, antes da Microsoft ter desativado as macros por defeito nos seus programas do Office. A sua reutilização nesta campanha de ciberespionagem sugere uma tentativa de explorar sistemas menos protegidos ou utilizadores menos atentos.
Phoenix v4 e o roubo de credenciais
Uma vez ativo, o carregador "FakeUpdate" decifra e instala a backdoor Phoenix, que se encontrava encriptada dentro do próprio malware. Esta nova versão, designada como Phoenix v4, estabelece persistência no sistema infetado através de modificações no Registo do Windows e de um novo mecanismo baseado em COM.
O principal objetivo da backdoor é recolher informação detalhada sobre o sistema, como o nome do computador, domínio, versão do Windows e nome de utilizador, para perfilar a vítima. Posteriormente, contacta um servidor de comando e controlo (C2) para receber ordens, que podem incluir o envio e receção de ficheiros, a execução de comandos no sistema ou a alteração dos seus próprios intervalos de comunicação.
Além da backdoor, os hackers utilizaram uma ferramenta personalizada para roubar credenciais, focada em extrair as bases de dados e chaves de desencriptação de navegadores como Chrome, Opera, Brave e Edge.
A investigação da Group-IB atribui esta campanha ao MuddyWater com um elevado grau de confiança, baseando-se nas famílias de malware utilizadas, nas técnicas de codificação e no padrão dos alvos, consistentes com as atividades passadas do grupo.
Nenhum comentário
Seja o primeiro!