Do not speak Portuguese? Translate this site with Google or Bing Translator

Hackers russos escondem malware Zebrocy em imagens de disco virtual

Pesquisadores da Intezer descobriram que Hackers russos escondem malware Zebrocy em imagens de disco virtual, criando um empacotamento de malware.

O Zebrocy é usado há anos e é um conjunto de downloaders, droppers e backdoors. A variante baseada em Golang foi descoberta no ano passado e tem sido usada intermitentemente pelos hackers.

Zebrocy vem em várias linguagens de programação (AutoIT, C++, C#, Delphi, Go, VB.NET). Para as campanhas recentes, o ator da ameaça escolheu a versão baseada em Golang em vez da versão Delphi mais comum.

Agora, os hackers russos por trás do malware Zebrocy mudaram sua técnica de entrega de malware a vítimas importantes e começaram a empacotar as ameaças em discos rígidos virtuais (VHD) para evitar a detecção.

Hackers russos escondem malware Zebrocy em imagens de disco virtual

Hackers russos escondem malware Zebrocy em imagens de disco virtual
Hackers russos escondem malware Zebrocy em imagens de disco virtual

A técnica foi detectada em campanhas recentes de spear-phishing do grupo de ameaça APT28 (Fancy Bear, Sofacy, Strontium, Sednit) para infectar sistemas-alvo com uma variante do conjunto de ferramentas Zebrocy.

O uso de imagens de disco VHD parece ser uma nova página no livro de entrega de malware do grupo de ameaças por trás do Zebrocy. A técnica já havia sido vista em operações de phishing do grupo Cobalt para distribuir o carregador CobInt no final de dezembro de 2019.

Em seu relatório publicado recentemente, o Intezer fornece indicadores de comprometimento para o servidor de comando e controle, os arquivos VHD e as amostras de malware Zebrocy usadas nas recentes campanhas de phishing.

O Windows 10 oferece suporte nativo a arquivos VHD e pode montá-los como unidades externas para permitir que os usuários visualizem os arquivos dentro deles.

No ano passado, pesquisadores de segurança descobriram que os mecanismos antivírus não verificam o conteúdo do VHD até que as imagens de disco sejam montadas.

Pesquisadores da Intezer descobriram no final de novembro um VHD carregado para a plataforma de varredura Virus Total do Azerbaijão.

Dentro da imagem havia um arquivo PDF e um executável posando como um documento do Microsoft Word, que contém o malware Zebrocy.

O PDF é uma apresentação sobre a Sinopharm International Corporation, uma empresa farmacêutica chinesa que está atualmente na fase três de testes para uma vacina COVID-19.

A variante Zebrocy no arquivo VHD é um novo que teve baixa detecção no Virus Total. Em 30 de novembro, apenas nove dos 70 mecanismos detectaram o malware.

No entanto, a análise de Intezer mostrou que o novo Zebrocy é geneticamente semelhante a uma variante Delphi usada um ano atrás em uma campanha contra alvos no Azerbaijão.

Com base em pistas no VHD malicioso, os pesquisadores descobriram que o agente da ameaça conduziu campanhas semelhantes desde pelo menos outubro.

Outras imagens de disco usadas como iscas de phishing foram enviadas para o Virus Total, uma delas em 12 de novembro do Cazaquistão e outra com data e hora de criação em 21 de outubro.

As duas últimas imagens VHD incluíam uma amostra do Zebrocy representando um documento do Microsoft Word e um arquivo PDF, e compartilhavam a mesma ID de disco.

O mais antigo, porém, entregava uma variante do malware baseada em Delphi e usava uma isca de PDF escrita em russo.

Compartilhe:
Sobre o Edivaldo Brito

Edivaldo Brito é analista de sistemas, gestor de TI, blogueiro e também um grande fã de sistemas operacionais, banco de dados, software livre, redes, programação, dispositivos móveis e tudo mais que envolve tecnologia.