Relatórios recentes indicam que os agentes de ameaças têm manipulado Script kiddies ou hackers amadores para que executem ações maliciosas que nunca pretenderam. Isso é feito com a ferramenta OpenBullet, usada por testadores de aplicações web e profissionais de segurança.
OpenBullet é uma ferramenta de teste de segurança de código aberto que pode ser usada para realizar tarefas simples e repetitivas, bem como ataques complexos com a ajuda de um arquivo de configuração.
Esses arquivos de configuração são projetados por hackers sofisticados e negociados, compartilhados ou até mesmo vendidos a criminosos cibernéticos.
No entanto, esses arquivos de configuração podem ter uma única linha ou até centenas de linhas de código. Códigos altamente complicados são difíceis de serem lidos e compreendidos por hackers de nível inicial.
Esse arquivo de configuração foi encontrado em um canal do Telegram que parecia ter sido codificado maliciosamente para preenchimento de credenciais e ataques de controle de conta.
Analisando ainda mais o arquivo de configuração, foi revelado que o código foi projetado para contornar o reCAPTCHA do Google e tinha múltiplas funções dentro dele junto com uma variável COOKIE.
Verificou-se que o arquivo de configuração faz mais do que apenas ignorar o CAPTCHA.
A função escrita no arquivo de configuração concatena a variável COOKIE, que forma uma URL Pastebin que redireciona para uma URL GitHub que consiste em um repositório chamado GetChromeUpdates.
OpenBullet recupera o binário hospedado neste repositório que foi encontrado em um arquivo chromedriver.exe.
Este arquivo chromedriver.exe substitui o SeleniumWebDriver usado no OpenBullet. Feito isso, o OpenBullet cria uma nova sessão que baixa duas cargas úteis do mesmo repositório GitHub que Ocean e Patent.
Ocean é o script baixado enquanto Patent é um executável baseado em Python que não apresenta ofuscação durante a compilação e foi escrito na versão Python 3.11.
Além disso, os scripts baixam malware do repositório chamado Telegram-RAT, que contém o malware escrito em Python. Ele se comunica com o servidor de comando e controle usando o telebot.
A relatório completo foi publicado pela equipe Kasada Threat Intelligence, que fornece informações completas sobre os métodos, mecanismos e códigos usados pelos atores da ameaça.
