Uma nova família de malware, batizada de AgingFly, foi identificada numa série de ataques direcionados a hospitais e governos locais na Ucrânia. A ameaça, focada no roubo de credenciais e dados de autenticação de browsers e serviços de mensagens, foi detalhada recentemente pelo CERT-UA, que atribui a campanha ao grupo de cibercriminosos conhecido como UAC-0247, indicando que as Forças de Defesa também podem estar entre os alvos.
Como o ataque engana as vítimas
O esquema tem início com o envio de emails fraudulentos, que se fazem passar por ofertas de ajuda humanitária. Ao clicar no link incluído, a vítima é reencaminhada para sites legítimos comprometidos por falhas XSS ou para páginas falsas geradas por ferramentas de inteligência artificial.
O objetivo é levar a vítima a descarregar um arquivo compactado contendo um atalho (LNK) que, de forma encadeada, ativa um script HTA. Para distrair o utilizador, é mostrado um formulário falso enquanto, em segundo plano, uma tarefa agendada descarrega o executável principal, injetando código malicioso num processo legítimo do sistema. Através de ligações encriptadas, os atacantes estabelecem o controlo remoto do computador para o envio de comandos.
O roubo de dados no WhatsApp e browsers
Uma vez infiltrado, o atacante foca-se na recolha de informação sensível. Para isso, utiliza uma ferramenta de segurança de código aberto chamada ChromElevator. Esta tática permite extrair e desencriptar dados cruciais, como cookies e palavras-passe guardadas, de navegadores baseados em Chromium, incluindo o Google Chrome, Edge e Brave, sem sequer necessitar de privilégios de administrador.
Além disso, o grupo procura ativamente extrair bases de dados da aplicação do WhatsApp para Windows, recorrendo ao software ZAPiDESK para decifrar as informações. Os cibercriminosos efetuam ainda o reconhecimento da rede e tentam expandir o ataque a outras máquinas utilizando ferramentas públicas de análise de portas e túneis.
A tática invulgar de compilação em tempo real
O AgingFly, desenvolvido em linguagem C#, destaca-se por uma característica técnica bastante fora do comum. Em vez de trazer consigo os comandos pré-programados para as suas ações maliciosas, como tirar capturas de ecrã ou registar o teclado, o malware recebe o código-fonte diretamente do seu servidor de controlo através de WebSockets.
Esse código é depois compilado no próprio computador da vítima no momento da execução. Embora esta estratégia permita alterar rapidamente o comportamento da ameaça e ajude a contornar alguns sistemas de deteção estática, acaba por consumir mais recursos no sistema infetado e aumenta o risco de bloqueio caso a ligação ao servidor principal falhe. Como medida preventiva contra esta campanha, a recomendação de segurança passa por bloquear a execução de ficheiros LNK, HTA e JS nos sistemas.
Nenhum comentário
Seja o primeiro!