Reading Time: 2 minutes

Hackers estão a utilizar InfoStealer para atacar Windows Server e aceder a informação sensível.

Foi identificado um novo malware InfoStealer que está a ser direcionado a servidores Windows com o objetivo de roubar informações confidenciais  que incluem credenciais de login, a versão do sistema operativo, os endereços IP, e esta peça de malware também envia os dados da vítima para um servidor FTP controlado pelos criminosos.

Esta descoberta foi conduzida pela Checkpoint que observou uma enorme campanha de malware a executar esta nova peça de malware tirando partido da ferramenta MimiKatz e que está atualmente a ser direcionada para países asiáticos.

A infeção começa com o um ficheiro executável, descarregado de 66 [.] 117.6.174/ups.rar e, em seguida, é executado na máquina da vítima e que verifica se a máquina comprometida é um servidor Windows (Windows Server) ou não.

fig1-6

 

Se a máquina infetada for um servidor do Windows, o malware será executado, caso contrário ele não é executado e o processo terminará.

Ao identificar o destino como um “Windows Server”, são enviadas duas solicitações, uma para libertar os ficheiros batch e outra para acionar o fileless attack. O próximo passo é enviar uma solicitação para sincronizar com o servidor C2.

O ficheiro Patch contém os componentes da infame botnet Mirai e os atacantes aprimoraram este módulo com novos comportamentos maliciosos. O novo módulo é capaz de criar um objeto de cliente  WMI que executa o PowerShell com permissão de administração.

Em seguida, o malware tenta descarregar os seguintes malwares: Mirai, Dark cloud e XMRig miner. Para descarregar o malware, ele usa o método cradle obfuscator a partir do seguinte endereço:  http://173[.]208.139.170/s.txt.

Para evitar a detecção, invoca outro comando que descarregar o ficheiro ps1 que executa vários comandos. Em seguida, o malware chama a instrução GetVersionExA, que extrai a versão do sistema operativo.

O malware extrai detalhes do processador e invoca o Mimikatz de uma URL externa e é então efetuado o dump de todas as passwords da máquina. Quando a password é exfiltrada, ela é guardada num ficheiro e, em seguida, o ficheiro é carregado para um servidor FTP controlado pelos criminosos.

fig4a-1

 

Com base na análise da Checkpoint, o servidor FTP ainda está online e os uploads continuam a ser executados a cada segundo.