Hackers do Titanium APT injetam novo backdoor fileless oculto no Windows

Hackers do Titanium APT injetam novo backdoor fileless oculto no Windows. Uma nova onda de ataque de malware ocorre novamente no grupo Titanium APT, que infecta janelas com backdoor oculto, imitando software legítimo comum e técnica sem arquivos.

O Titanium APT é um dos grupos de hackers tecnologicamente avançados, eles usam várias técnicas sofisticadas para atacar o alvo, e seu método de ataque dificulta a detecção de suas atividades em geral.

Além disso, o sistema de arquivos de malware não pode ser detectado como malicioso devido ao uso de criptografia e tecnologias sem arquivos (fileless) para infectar as vítimas.

O APT de titânio, direcionado principalmente à região da APAC, e o atual ataque acredita-se estar focado no sul e sudeste da Ásia.

Pesquisadores da Kaspersky descobriram que o malware se oculta a cada passo imitando o software comum (relacionado à proteção, software de drivers de som, ferramentas de criação de vídeo em DVD).

Estágios de infecção de backdoor de titânio APT

Antes de instalar um backdoor em um computador Windows no estágio final, os atores da ameaça seguem sequências complexas de estágios de remoção, download e instalação.

Durante esse processo, em todas as etapas, eles imitam softwares conhecidos, como software de segurança, software para gravação de vídeos em DVD, software de drivers de som para evitar a detecção.

Os pesquisadores acreditam que os atacantes usam o site da intranet local com código malicioso para espalhar o malware.

De outra maneira, o Titanium APT injeta o código de shell em um processo chamado winlogon.exe, um arquivo de processo legítimo conhecido popularmente como Aplicativo de Logon do Windows que executa uma variedade de tarefas críticas relacionadas ao processo de entrada do Windows, informou a Kaspersky através do  blog.

O próprio código de shell contém um código independente conectado ao endereço C&C codificado, que faz o download de uma carga criptografada e descriptografa e o inicia usando uma senha de descompactação codificada.

Os atores da Titanium Threat sempre têm o hábito de usar as DLLs do  Wrapper para descriptografar e carregar um arquivo criptografado na memória do sistema.

Para manter a persistência na máquina da vítima, a ameaça é ativada usando o instalador de tarefas do Windows , um arquivo SFX criptografado por senha que pode ser baixado via BITS Downloader.

A biblioteca de downloads do BITS ajuda a baixar arquivos em formato criptografado da C&C e a iniciá-los.

Instalando o Backdoor

No estágio final, no processo de instalação de um backdoor, os atacantes usam o instalador de Trojan-Backdoor  que foi iniciado a partir da linha de comando usando uma senha para descompactá-lo.

O instalador recebe um comando do servidor C2 enviando uma solicitação vazia ao servidor C2, e o malware também pode obter configurações de proxy no  Internet Explorer .

Em resposta, o C2 Server envia um arquivo PNG que contém dados esteganograficamente ocultos. Esses dados são criptografados com a mesma chave que as solicitações de C&C. Os dados descriptografados contêm comandos de backdoor para roubar os dados das vítimas infectadas.  

Fonte: GBHackers & Karspecky 

Veja também:

• Funcionário da Trend Micro vendeu dados de consumidores à scammers
• Plataforma Meu Vivo expõe dados de milhões de clientes
• Malware Android ‘irremovível’ infectou 45 mil telefones
• Everis e outras empresas espanholas sofrem ataque de ransomware
• Cartórios de SP expõe dados de 1 milhão de pais, mães e filhos
• Samsung corrige a falha do leitor de impressão digital Galaxy S10
• FATEC-SC abre inscrições para o curso de Segurança da Informação
• AWS sofre ataque DDoS por 8 horas
• Violação do UniCredit afeta três milhões de clientes
• Senacom abre investigação por vazamento de dados pessoais na TIM
• Aviso do Windows 10 para 800 milhões de usuários: Instale esta atualização primeiro
• Banco Central condena Citibank e diretores por falha de controle de risco