As mudanças recentes
- Desde o início de setembro, os invasores estavam usando uma nova variante de malware compilada usando o recurso .NET 7 NativeAOT, mas com base na mesma base de código de antes.
- Em outubro, os invasores voltaram para binários independentes do Windows do .NET Core 3 que contêm código anti-análise copiado do GitHub para evitar a detecção. Ele possui um método mais robusto para obter endereços de e-mail controlados pelo invasor de seu servidor C2.
- Os desenvolvedores tornaram o malware mais legítimo ao lançar arquivos fictícios para ocultar sua intenção maliciosa, como um documento, planilha ou vídeo. Além disso, os operadores aumentaram relativamente o tamanho da equipe operacional.
Aprimoramentos adicionais
- Os invasores estão assinando o malware com certificados EV (validação estendida) para evitar a detecção e alterando esses certificados no meio da campanha depois que eles foram revogados.
- O grupo criou empresas falsas no Vietnã para desenvolvimento de recursos e expansão operacional. Para os certificados de assinatura de código, sete dessas empresas foram identificadas, até o momento.
- O grupo está usando o Telegram para fins C2, no entanto, associou várias contas de administrador aos canais do Telegram para integrar afiliados à operação.
Táticas de ataque
- Os pesquisadores observaram alguns incidentes em que as vítimas foram alvo de arquivos usando o WhatsApp. O vetor inicial para as campanhas não pode ser determinado devido a evidências insuficientes.
- No entanto, quando os invasores não conseguem adicionar seu endereço de e-mail à conta comercial pretendida do Facebook devido à falta de permissões suficientes, eles coletaram informações suficientes para se passar pela vítima e alcançar seu objetivo por meio de atividades práticas.
Conclusão
Fonte: Cyware
Descubra mais sobre DCiber
Assine para receber os posts mais recentes por e-mail.