Phishing contra o AnyDesk utiliza persistência de tarefas agendadas

Ataque de phishing contra o AnyDesk utiliza persistência de tarefas agendadas e exclusão de artefatos para evitar a detecção.

Uma nova campanha de phishing está transformando uma ferramenta de acesso remoto confiável em uma porta dos fundos permanente para espionagem.

Os atacantes se escondem atrás de faturas falsas para burlar os filtros de e-mail e, uma vez dentro de uma rede, utilizam softwares de TI comuns em vez de malwares personalizados, o que dificulta a detecção da intrusão.

A campanha tem como alvo organizações aeroespaciais e de aviação russas, utilizando como isca uma fatura temática.

Em vez de implantar um vírus óbvio, os operadores configuram silenciosamente o AnyDesk para acesso remoto não supervisionado e, em seguida, apagam seus rastros. O objetivo parece ser o controle silencioso e de longo prazo das máquinas infectadas.

Analistas da Seqrite identificaram e documentaram essa atividade, rastreando como um único anexo de e-mail leva a uma ferramenta de acesso remoto totalmente configurada e a um sistema limpo.

A pesquisa deles mostra uma cadeia que começa com um arquivo protegido por senha e termina com a persistência de tarefas agendadas e a exclusão de arquivos remanescentes.

Em um relatório compartilhado com o Cyber ​​Security News (CSN), a Seqrite afirmou que o e-mail se faz passar por um instituto de pesquisa federal russo real, ligado a trabalhos aeroespaciais, e foi enviado de um domínio registrado recentemente para imitar a organização genuína.

Cadeia de Infecção (Fonte - Seqrite)Cadeia de Infecção (Fonte – Seqrite)

A mensagem é endereçada a destinatários não divulgados, em vez de um contato específico, o que sugere que foi enviada a vários alvos simultaneamente, um padrão que aponta para um esforço mais amplo de coleta de informações.

Pesquisadores observam que as táticas se assemelham às de um grupo de ameaças conhecido como Rare Werewolf, também chamado de Librarian Ghouls, que tem como alvo organizações industriais, de engenharia e aeroespaciais na Rússia, Bielorrússia e Cazaquistão.

O ataque de phishing contra o AnyDesk utiliza a persistência de tarefas agendadas e a exclusão de artefatos.

O ataque começa com um e-mail contendo um arquivo protegido por senha, identificado como uma fatura, com a senha inserida no corpo da mensagem para que as vítimas possam abri-lo sem que os scanners consigam inspecionar o conteúdo.

E-mail de phishing com arquivo protegido por senha (Fonte - Seqrite)E-mail de phishing com arquivo protegido por senha (Fonte – Seqrite)

Dentro do programa, encontra-se um instalador criado com uma ferramenta de empacotamento legítima, que instala arquivos em uma pasta oculta enquanto exibe um PDF falso para manter a ilusão de uma fatura genuína.

Uma série de arquivos em lote são executados um após o outro, primeiro acessando um servidor remoto para baixar um segundo arquivo protegido por senha contendo a carga útil real.

Esse arquivo descompacta uma cópia portátil do AnyDesk, uma ferramenta de linha de comando para envio de e-mails, um utilitário de compressão e um pequeno programa chamado Tray Minimizer, que oculta as janelas de aplicativos do usuário.

O script faz uma pausa de cerca de um minuto, provavelmente para ultrapassar as verificações automatizadas do sandbox. Em seguida, configura o AnyDesk com uma senha predefinida para que o invasor possa se conectar sem que as solicitações apareçam na tela e, silenciosamente, inicia a ferramenta em segundo plano.

Após a execução do AnyDesk, o script compacta seus arquivos de configuração, configurações de conexão e certificados em um novo arquivo protegido por senha.

Esse arquivo é enviado por e-mail através de um utilitário de e-mail SMTP legítimo para um endereço controlado pelo atacante, fornecendo aos operadores o que eles precisam para gerenciar a sessão posteriormente.

Uma tarefa agendada, disfarçada de processo de atualização de rotina, garante que a ferramenta oculta na bandeja do sistema, e por extensão o AnyDesk, seja reiniciada sempre que a vítima fizer login.

 

Apagando rastros e permanecendo oculto.

Após a persistência ser estabelecida, o script malicioso exclui os arquivos de comando, registros de texto, arquivos compactados, executáveis ​​e o PDF de isca usados ​​durante a configuração.

Essa limpeza remove a maior parte das evidências forenses em que um investigador se basearia, tornando a intrusão mais difícil de reconstruir posteriormente.

Usar o Tray Minimizer para manter o AnyDesk fora da vista é um truque de evasão eficaz, já que a própria ferramenta de acesso remoto é um software legítimo que muitos produtos de segurança não detectam.

Dados extraídos do arquivo RAR (Fonte - Seqrite)Dados extraídos do arquivo RAR (Fonte – Seqrite)

Combinando a persistência de tarefas agendadas e a exclusão de arquivos, a abordagem prioriza a integração à atividade normal em vez da implantação de código obviamente malicioso.

Os pesquisadores não observaram mineração de criptomoedas nesta amostra específica, embora campanhas relacionadas do mesmo agente tenham implantado ferramentas de mineração após estabelecerem acesso persistente. O ganho financeiro pode continuar sendo um objetivo secundário, uma vez que o controle remoto esteja garantido.

Organizações dos setores aeroespacial e industrial relacionado devem tratar e-mails de faturas inesperados com cautela, especialmente aqueles provenientes de domínios recém-registrados.

Monitorar tarefas agendadas não autorizadas e instalações inesperadas de acesso remoto pode ajudar a detectar essa atividade precocemente. Restringir o tráfego de e-mail de saída a servidores aprovados também pode limitar a exfiltração de dados roubados.

Como as ferramentas utilizadas são inteiramente compostas por utilitários legítimos e amplamente usados, a detecção baseada em assinaturas pode ter dificuldades em identificar a intrusão.

O monitoramento comportamental focado na criação de tarefas agendadas e na exfiltração de arquivos oferece um caminho mais confiável para detectar essa atividade.

 

Indicadores de Compromisso (IoCs):-

TipoIndicadorDescrição
Hash SHA25647854deb456cb08c651b7f9ae2f9d87c72d0719de6af233340632efb3c1980f4Componente executável/dropper malicioso 
Hash SHA25612648cd9d425f78db2dbc6e03c14f11e6ac6aadf8b3975c23cce9519e2b58d33Hash do arquivo de carga útil relacionado 
Hash SHA256f57e010541fb4ccbf23aefc4a827f753a6ff3f8792d9c04c3eea83f6963c6baeHash do arquivo de carga útil relacionado 
Hash SHA2560dc0fa727f900ed5033f46f8ba6cf2d97d20ab95fd334cabc0f216da6e0622b0Hash do arquivo de carga útil relacionado 
Endereço IP198.54.120[.]13Infraestrutura do atacante 
Endereço IP194.87.57[.]81Infraestrutura do atacante 
Endereço IP2.23.88[.]201Infraestrutura do atacante 
Endereço IP109.106.178.14Infraestrutura do atacante 
Domínioaviatronika[.]onlineDomínio falso semelhante 
Domíniovniir-avia[.]espaçoDomínio falsificado se passando pelo instituto VNIIR, usado para enviar e-mail de phishing. 
Domíniofgub-vniir[.]espaçoDomínio falso semelhante 
Domíniovniir-info[.]espaçoDomínio falso semelhante 
Domínionova-stream[.]siteDomínio falso semelhante 

Nota:  Os endereços IP e domínios são intencionalmente desativados (por exemplo, `example.com`  [.]) para evitar resolução acidental ou criação de hiperlinks. Reative-os somente em plataformas de inteligência contra ameaças controladas, como MISP, VirusTotal ou seu SIEM .

Fonte: Cyber Security News PorTushar Subhra Dutta

Clique e fale com representante oficial Netwrix Endpoint Protector

Veja também:

About mindsecblog 3673 Articles
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

Be the first to comment

Deixe sua opinião!