Múltiplos grupos de cibercriminosos estão a adotar uma nova tática para garantir o sucesso das suas intrusões, recorrendo a uma plataforma conhecida como "Shanya". Este serviço, que opera num modelo de packer-as-a-service, está a ser utilizado para implementar cargas maliciosas desenhadas especificamente para desativar soluções de deteção e resposta (EDR) nos sistemas das vítimas.
O serviço tem vindo a ganhar popularidade desde o final de 2024, sendo utilizado por grupos notórios como Medusa, Qilin, Crytox e, com maior frequência, pelo grupo Akira. Estes serviços de "empacotamento" fornecem aos criminosos ferramentas especializadas que ofuscam o código malicioso, permitindo que este contorne os motores antivírus e ferramentas de segurança mais comuns.
O mecanismo de evasão
O funcionamento do Shanya baseia-se na criação de versões "empacotadas" das ameaças, utilizando encriptação e compressão personalizadas. Segundo a análise técnica da Sophos, a carga maliciosa é inserida numa cópia mapeada em memória do ficheiro DLL do Windows "shell32.dll".
Embora o caminho do ficheiro pareça normal e as secções executáveis aparentem ser válidas, o cabeçalho e a secção de texto são sobrescritos com o código malicioso desencriptado. O aspeto mais perigoso desta técnica é que a desencriptação e descompressão ocorrem inteiramente na memória, sem que o ficheiro malicioso toque no disco rígido, dificultando a análise forense tradicional.
Além disso, o Shanya realiza verificações ativas para detetar a presença de soluções EDR. Ao tentar executar funções num contexto inválido, provoca falhas propositadas se estiver a correr sob um depurador (debugger) de modo de utilizador, interrompendo qualquer tentativa de análise automatizada antes que a carga principal seja executada.
Desativar as defesas e escalar privilégios
O objetivo primordial destes grupos de ransomware é neutralizar as ferramentas de defesa antes de iniciarem o roubo de dados e a encriptação dos ficheiros. O processo envolve geralmente o carregamento lateral de DLLs (DLL side-loading), combinando executáveis legítimos do Windows com DLLs maliciosas preparadas pelo Shanya.
Durante o ataque, são largados dois drivers no sistema. Um deles é uma versão legitimamente assinada do "ThrottleStop.sys", que contém uma vulnerabilidade conhecida que permite a escrita arbitrária na memória do kernel. Este driver vulnerável é explorado para a escalada de privilégios. O segundo driver, não assinado, é utilizado para terminar processos de segurança com base numa lista predefinida de alvos.
Além das operações de ransomware, a Sophos observou também campanhas de "ClickFix" a utilizar o serviço Shanya para distribuir o malware CastleRAT, sinalizando que esta ferramenta de ofuscação se está a tornar um recurso padrão no arsenal do cibercrime moderno.
Nenhum comentário
Seja o primeiro!