Threats
O grupo de espionagem RedEyes ou APT37 está a utilizar o novo malware M2RAT
15/02/2023
|
O grupo cibercriminoso RedEyes, também conhecido como APT37 ou ScarCruft, está a utilizar um novo malware para roubar dados. Num relatório do AhnLab Security Emergency response Center (ASEC), os investigadores explicam que o grupo norte-coreano de espionagem está a utilizar o malware M2RAT, que utiliza uma secção de memória partilhada para comandos e exfiltração de dados, deixando poucos vestígios na máquina infetada. Os ataques começaram em janeiro de 2023, quando o grupo enviou emails de phishing que continham um anexo malicioso, que ao ser aberto leva à exploração de uma vulnerabilidade EPS (CVE-2017-8291) no processador de palavras Hangul, comummente utilizado na Coreia do Sul. A exploração leva a que shellcode seja executado no computador da vítima, numa imagem JPG. A imagem utiliza a técnica de “steganography”, que permite ocultar código dentro dos ficheiros para introduzir o executável M2RAT “lskdjfei.exe” no sistema e injetá-lo em “explorer.exe”. Para persistir no sistema, o malware adiciona um RyPO na tecla de registo “Run” com comandos para executar um script PowerShell via “cmd.exe”. A backdoor M2RAT funciona como um Trojan de acesso remoto que executa keylogging, roubo de dados, execução de comandos, e faz screenshots do desktop. A função de screenshot é ativada periodicamente e funciona de forma autónoma sem necessitar de uma comando específico do operador. Se o dispositivo móvel for infetado, o malware permite analisar o conteúdo do dispositivo e obter documentos e ficheiros de gravação de voz, ou mesmo até copiá-los para o PC para exfiltração para o servidor do atacante. Antes da exfiltração, os dados roubados são comprimidos num arquivo RAR protegido por palavra-passe e a cópia local é apagada da memória para eliminar eventuais vestígios. Além disso, o M2RAT utiliza uma secção de memória partilhada para command and control (C2), exfiltração de dados e transferência direta de dados roubados para C2 sem os armazenar no sistema comprometido. Desta forma, minimizam a troca com o C2 e dificulta a análise, uma vez que os investigadores de segurança têm de analisar a memória dos dispositivos infetados para recuperar os comandos e dados utilizados pelo malware. |
Receba todas as novidades na sua caixa de correio!
THREATS
Microsoft corrige falhas de segurança críticas em RCE e zero day
ANALYSIS
Operação da Sophos descobre vasto ecossistema de adversários na China
THREATS
HPE corrige vulnerabilidades críticas em access points Aruba
THREATS
Microsoft confirma exploração de vulnerabilidade zero-day
NEWS
Ciberataques exigem mais de sete meses para recuperação total
THREATS
Uso de anexos SVG cresce em emails de phishing para evitar a deteção
THREATS
Simuladores de movimento do rato são possíveis ciberameaças
THREATS
Cibercriminosos atacam vítimas na Europa com malware Strela Stealer
THREATS
Microsoft confirma exploração de vulnerabilidade zero-day
THREATS
Falha crítica em plugin do WordPress expôs mais de quatro milhões de sites
