Pesquisadores da Intezer descobriram que Hackers russos escondem malware Zebrocy em imagens de disco virtual, criando um empacotamento de malware.
O Zebrocy é usado há anos e é um conjunto de downloaders, droppers e backdoors. A variante baseada em Golang foi descoberta no ano passado e tem sido usada intermitentemente pelos hackers.
Zebrocy vem em várias linguagens de programação (AutoIT, C++, C#, Delphi, Go, VB.NET). Para as campanhas recentes, o ator da ameaça escolheu a versão baseada em Golang em vez da versão Delphi mais comum.
Agora, os hackers russos por trás do malware Zebrocy mudaram sua técnica de entrega de malware a vítimas importantes e começaram a empacotar as ameaças em discos rígidos virtuais (VHD) para evitar a detecção.
Hackers russos escondem malware Zebrocy em imagens de disco virtual
A técnica foi detectada em campanhas recentes de spear-phishing do grupo de ameaça APT28 (Fancy Bear, Sofacy, Strontium, Sednit) para infectar sistemas-alvo com uma variante do conjunto de ferramentas Zebrocy.
O uso de imagens de disco VHD parece ser uma nova página no livro de entrega de malware do grupo de ameaças por trás do Zebrocy. A técnica já havia sido vista em operações de phishing do grupo Cobalt para distribuir o carregador CobInt no final de dezembro de 2019.
Em seu relatório publicado recentemente, o Intezer fornece indicadores de comprometimento para o servidor de comando e controle, os arquivos VHD e as amostras de malware Zebrocy usadas nas recentes campanhas de phishing.
O Windows 10 oferece suporte nativo a arquivos VHD e pode montá-los como unidades externas para permitir que os usuários visualizem os arquivos dentro deles.
No ano passado, pesquisadores de segurança descobriram que os mecanismos antivírus não verificam o conteúdo do VHD até que as imagens de disco sejam montadas.
Pesquisadores da Intezer descobriram no final de novembro um VHD carregado para a plataforma de varredura Virus Total do Azerbaijão.
Dentro da imagem havia um arquivo PDF e um executável posando como um documento do Microsoft Word, que contém o malware Zebrocy.
O PDF é uma apresentação sobre a Sinopharm International Corporation, uma empresa farmacêutica chinesa que está atualmente na fase três de testes para uma vacina COVID-19.
A variante Zebrocy no arquivo VHD é um novo que teve baixa detecção no Virus Total. Em 30 de novembro, apenas nove dos 70 mecanismos detectaram o malware.
No entanto, a análise de Intezer mostrou que o novo Zebrocy é geneticamente semelhante a uma variante Delphi usada um ano atrás em uma campanha contra alvos no Azerbaijão.
Com base em pistas no VHD malicioso, os pesquisadores descobriram que o agente da ameaça conduziu campanhas semelhantes desde pelo menos outubro.
Outras imagens de disco usadas como iscas de phishing foram enviadas para o Virus Total, uma delas em 12 de novembro do Cazaquistão e outra com data e hora de criação em 21 de outubro.
As duas últimas imagens VHD incluíam uma amostra do Zebrocy representando um documento do Microsoft Word e um arquivo PDF, e compartilhavam a mesma ID de disco.
O mais antigo, porém, entregava uma variante do malware baseada em Delphi e usava uma isca de PDF escrita em russo.
