Uma nova onda de infame malware credential stealer, “Separado”, infeta organizações através de técnicas antigas living of the land.
Nesta campanha, os agentes de ameaças aproveitam um novo serviço de alojamento online de ficheiros e um cliente de FTP legítimo para guardar os dados exfiltrados das vítimas.
De acordo com DeepInstinct, a atividade continua e os dados extraídos são armazenados diariamente no serviço de alojamento.
A campanha teve como alvo um número de empresas no Sudeste Asiático, no Médio Oriente, e algumas também na América do Norte.
O ataque direcionado a organizações comerciais com documentos falsos, e que parecem ser de cotações. pagamentos e especificações sobre equipamentos.
A infecção começa com um e-mail de phishing que contém anexos mal-intencionados, principalmente documentos falsos PDF.
Este ficheiro funciona como primeiro estágio que automaticamente descarrega um script em vb (adobel.vbs), depois bash scripts (adob01.bat e adob02.bat) e quatro ficheiros executáveis (adobepdf.exe, adobepdf2.exe, ancp.exe e Aeada.exe).
De acordo com a análise DeepInstinct, a cadeia maliciosa executa as seguintes funções:
- Opens an empty decoy jpg, which hides additional command windows.
- Changes firewall settings.
- Saves ipconfig /all results into a file.
- Steals credentials.
- Renames the extracted passwords and upload via FTP
- Turns computer to sleep, once it runs second batch script once sleep completed
Os atacantes não usaram nenhuma técnica de ofuscação ou evading. O malware utiliza várias ferramentas legitimas, xcopy.exe, attrib.exe, sleep.exe (renomeado Areada.exe) e ancp.exe.
As informações exfiltradas são armazenadas num servidor FTP pertencente a um provedor de alojamento popular e conhecido por freehostia.com. O malware utiliza um cliente de FTP para transferir os dados chamado ancp.exe.
O crescimento no número de vítimas atingidas por este malware mostra que os ataques simples podem ser muito eficazes.
Pedro Tavares is a professional in the field of information security working as an Ethical Hacker/Pentester, Malware Researcher and also a Security Evangelist. He is also a founding member at CSIRT.UBI and Editor-in-Chief of the security computer blog seguranca-informatica.pt.
In recent years he has invested in the field of information security, exploring and analyzing a wide range of topics, such as pentesting (Kali Linux), malware, exploitation, hacking, IoT and security in Active Directory networks. He is also Freelance Writer (Infosec. Resources Institute and Cyber Defense Magazine) and developer of the 0xSI_f33d – a feed that compiles phishing and malware campaigns targeting Portuguese citizens.
Read more here.