Site icon Segurança Informática

OceanLotus alavanca nova backdoor usando alguns truques antigos de malware

Um grupo de investigadores da ESET dissecaram algumas das últimas novidades do kit malicioso do grupo Advanced Persistent Threat (APT) , conhecido como OceanLotus, também apelidado de APT32 e APT-C-00.

A OceanLotus é um grupo que dissemina bastantes malwares e tem a mira bem fixada em objetivos corporativos e governamentais de alto perfil no Sudeste Asiático, particularmente no Vietname, nas Filipinas, no Laos e no Camboja. Este grupo é conhecido por integrar técnicas de engenharia de malware já conhecidas nas suas criações e campanhas maliciosas.

A OceanLotus está imperável, e continua a perseguir os seus grandes objetivos que incluem ciberespionagem, reconhecimento e roubo de propriedade intelectual. Uma das backdoors mais recentes do grupo é uma ferramenta maliciosa que permite obter acesso remoto a uma máquina comprometida. A backdoor contém um conjunto de funcionalidades, nomeadamente uma série de ferramentas para manipulação de arquivos, registos e processos, bem como o carregamento de componentes adicionais.

 

O ataque  começa com uma tentativa – provavelmente através de um e-mail spearphishing – para atrair a vítima pretendida a executar o ficheiro malicioso que está em anexo no e-mail.

Quando a vítima clica no ficheiro malicioso, é aberto um ficheiro protegido por password, apenas para chamar a atenção da vítima, enquanto o malware trata de efetuar as operações maliciosas em segundo plano.

The attackers use a number of decoy documents. To boost its aura of authenticity, each file has a rather carefully crafted – and usually English – name. ESET detects the files as Win32/TrojanDropper.Agent.RUI.

O whitepaper pode ser consultado neste endereço: OceanLotus: Old techniques, new backdoor.

 

Exit mobile version