Uma nova onda de infame malware credential stealer, “Separado”, infeta organizações através de técnicas antigas living of the land.
Nesta campanha, os agentes de ameaças aproveitam um novo serviço de alojamento online de ficheiros e um cliente de FTP legítimo para guardar os dados exfiltrados das vítimas.
De acordo com DeepInstinct, a atividade continua e os dados extraídos são armazenados diariamente no serviço de alojamento.
A campanha teve como alvo um número de empresas no Sudeste Asiático, no Médio Oriente, e algumas também na América do Norte.
O ataque direcionado a organizações comerciais com documentos falsos, e que parecem ser de cotações. pagamentos e especificações sobre equipamentos.
A infecção começa com um e-mail de phishing que contém anexos mal-intencionados, principalmente documentos falsos PDF.
Este ficheiro funciona como primeiro estágio que automaticamente descarrega um script em vb (adobel.vbs), depois bash scripts (adob01.bat e adob02.bat) e quatro ficheiros executáveis (adobepdf.exe, adobepdf2.exe, ancp.exe e Aeada.exe).
De acordo com a análise DeepInstinct, a cadeia maliciosa executa as seguintes funções:
- Opens an empty decoy jpg, which hides additional command windows.
- Changes firewall settings.
- Saves ipconfig /all results into a file.
- Steals credentials.
- Renames the extracted passwords and upload via FTP
- Turns computer to sleep, once it runs second batch script once sleep completed
Os atacantes não usaram nenhuma técnica de ofuscação ou evading. O malware utiliza várias ferramentas legitimas, xcopy.exe, attrib.exe, sleep.exe (renomeado Areada.exe) e ancp.exe.
As informações exfiltradas são armazenadas num servidor FTP pertencente a um provedor de alojamento popular e conhecido por freehostia.com. O malware utiliza um cliente de FTP para transferir os dados chamado ancp.exe.
O crescimento no número de vítimas atingidas por este malware mostra que os ataques simples podem ser muito eficazes.