Notícias de dispositivos móveis, gadgets, aplicativos Android

Hackers usam arquivo DOCX armado para implantar malware furtivo

O CERT-UA identificou e abordou um ataque cibernético aos sistemas de informação governamental de órgãos estatais governamentais ucranianos.

Através de investigação, foi descoberto que o endereço de e-mail do departamento recebeu comunicações em 18 de abril de 2023 e 20 de abril de 2023, parecendo originar-se da conta de e-mail autêntica da Embaixada do Tajiquistão (na Ucrânia).

Arquivo DOCX Armado

Suspeitos de serem resultado do estado de comprometimento da embaixada, esses e-mails incluíam um anexo na forma de um documento que continha uma macro no caso inicial, enquanto se referia ao mesmo documento no incidente posterior.

Quando o documento é baixado e sua macro é ativada, ele cria e abre um arquivo DOCX chamado “SvcRestartTaskLogon” com uma macro que gera outro arquivo com a macro “WsSwapAssessmentTask”.

Embora também inclua um arquivo “SoftwareProtectionPlatform” categorizado como HATVIBE, que pode carregar e executar arquivos adicionais.

Durante o curso da investigação técnicafoi documentado que em 25 de abril de 2023 foram gerados no computador programas suplementares, possivelmente facilitados pelo HATVIBE, em circunstâncias incertas.

Aqui abaixo, mencionamos esses aplicativos gerados adicionais: –

  • Keylogger LOGPIE
  • Porta dos fundos CHERRYSPY

Os arquivos são criados com Python e protegidos com PyArmor, enquanto o módulo “pytransform”, que fornece criptografia e ofuscação de código, é ainda mais protegido com Themida.

O malware STILLARCH é empregado para pesquisar e exfiltrar arquivos, incluindo dados do keylogger LOGPIE, com extensões de arquivo como:-

Uma análise mais aprofundada da infraestrutura e dos dados associados determinou que os alvos do grupo incluem organizações de vários países envolvidas em atividades de espionagem sob o codinome UAC-0063, que têm sido monitorizadas desde 2021.

Nós recomendamos:  Apple acaba de anunciar ... uma gaveta de aplicativos e widgets para iOS 14!

Para minimizar o escopo da vulnerabilidade, é aconselhável limitar a execução de “mshta.exe” nas contas de usuário. Windows Script Host (“wscript.exe”, “cscript.exe”) e o interpretador Python, reduzindo assim a superfície de ataque potencial.

Table of Contents