Notícias de dispositivos móveis, gadgets, aplicativos Android

Atores de ameaças usando uma ferramenta armada de Pentesting OpenBullet para manipular Script Kids

Relat√≥rios recentes indicam que os agentes de amea√ßas t√™m manipulado Script kiddies ou hackers amadores para que executem a√ß√Ķes maliciosas que nunca pretenderam. Isso √© feito com a ferramenta OpenBullet, usada por testadores de aplica√ß√Ķes web e profissionais de seguran√ßa.

OpenBullet é uma ferramenta de teste de segurança de código aberto que pode ser usada para realizar tarefas simples e repetitivas, bem como ataques complexos com a ajuda de um arquivo de configuração.

Esses arquivos de configuração são projetados por hackers sofisticados e negociados, compartilhados ou até mesmo vendidos a criminosos cibernéticos.

No entanto, esses arquivos de configura√ß√£o podem ter uma √ļnica linha ou at√© centenas de linhas de c√≥digo. C√≥digos altamente complicados s√£o dif√≠ceis de serem lidos e compreendidos por hackers de n√≠vel inicial.

Esse arquivo de configuração foi encontrado em um canal do Telegram que parecia ter sido codificado maliciosamente para preenchimento de credenciais e ataques de controle de conta.

Analisando ainda mais o arquivo de configura√ß√£o, foi revelado que o c√≥digo foi projetado para contornar o reCAPTCHA do Google e tinha m√ļltiplas fun√ß√Ķes dentro dele junto com uma vari√°vel COOKIE.

Verificou-se que o arquivo de configuração faz mais do que apenas ignorar o CAPTCHA.

A função escrita no arquivo de configuração concatena a variável COOKIE, que forma uma URL Pastebin que redireciona para uma URL GitHub que consiste em um repositório chamado GetChromeUpdates.

OpenBullet recupera o binário hospedado neste repositório que foi encontrado em um arquivo chromedriver.exe.

Este arquivo chromedriver.exe substitui o SeleniumWebDriver usado no OpenBullet. Feito isso, o OpenBullet cria uma nova sess√£o que baixa duas cargas √ļteis do mesmo reposit√≥rio GitHub que Ocean e Patent.

Ocean é o script baixado enquanto Patent é um executável baseado em Python que não apresenta ofuscação durante a compilação e foi escrito na versão Python 3.11.

N√≥s recomendamos:  Dica para cineastas: Equipamento para uma equipe documental de um homem

Além disso, os scripts baixam malware do repositório chamado Telegram-RAT, que contém o malware escrito em Python. Ele se comunica com o servidor de comando e controle usando o telebot.

A relat√≥rio completo foi publicado pela equipe Kasada Threat Intelligence, que fornece informa√ß√Ķes completas sobre os m√©todos, mecanismos e c√≥digos usados ‚Äč‚Äčpelos atores da amea√ßa.