Pesquisadores da Symantec descobriram uma campanha maliciosa do grupo de hackers Witchetty, que usa esteganografia para ocultar malware em uma imagem com o logotipo do Windows.
Deixe-me lembrá-lo de que também escrevemos isso Hackers se escondem MageCart skimmers em botões de mídia social.
Os especialistas lembram que Bruxa grupo hack está associado ao grupo chinês APT10 (também conhecido como Cigarra). Uma das últimas campanhas de ciberespionagem por cibercriminosos começou em fevereiro 2022 e visa governos no Médio Oriente, bem como a bolsa de valores na África. Esta campanha ainda está em andamento.
Os especialistas notaram que desta vez os hackers expandiram seu kit de ferramentas malicioso e começou a usar esteganografia em ataques: eles escondem o backdoor criptografado por XOR no antigo bitmap do Windows logotipo.
Imagem em que hackers esconderam malware
Graças a esse disfarce, o arquivo com o backdoor é colocado em um serviço de nuvem sem nome, e não no servidor de controle do grupo, já que as soluções de segurança não detectam uma carga maliciosa nele.
Os ataques Witchetty começam com os invasores obtendo acesso à rede da vítima usando o ProxyShell (CVE-2021-34473, CVE-2021-34523 e CVE-2021-31207) e Proxy Logon (CVE-2021-26855 e CVE-2021-27065) vulnerabilidades), que é usado para injetar web shells em servidores vulneráveis.
Os invasores baixam e extraem o backdoor oculto no arquivo de imagem, que permite:
- executar ações em arquivos e diretórios;
- começar, enumerar ou eliminar processos;
- modificar o registro do Windows;
- baixar cargas adicionais;
- roubar arquivos.
Witchetty também usa um utilitário proxy especial que força o computador infectado a agir “como um servidor e se conecta ao C&Servidor C atuando como cliente, e não vice-versa.”
Outras ferramentas culpadas incluem um scanner de porta personalizado e um utilitário de fixação de sistema personalizado que se adiciona ao registro sob o disfarce de um NVIDIA exibir componente principal.
