Threats
O grupo de espionagem RedEyes ou APT37 está a utilizar o novo malware M2RAT
15/02/2023
|
O grupo cibercriminoso RedEyes, também conhecido como APT37 ou ScarCruft, está a utilizar um novo malware para roubar dados. Num relatório do AhnLab Security Emergency response Center (ASEC), os investigadores explicam que o grupo norte-coreano de espionagem está a utilizar o malware M2RAT, que utiliza uma secção de memória partilhada para comandos e exfiltração de dados, deixando poucos vestígios na máquina infetada. Os ataques começaram em janeiro de 2023, quando o grupo enviou emails de phishing que continham um anexo malicioso, que ao ser aberto leva à exploração de uma vulnerabilidade EPS (CVE-2017-8291) no processador de palavras Hangul, comummente utilizado na Coreia do Sul. A exploração leva a que shellcode seja executado no computador da vítima, numa imagem JPG. A imagem utiliza a técnica de “steganography”, que permite ocultar código dentro dos ficheiros para introduzir o executável M2RAT “lskdjfei.exe” no sistema e injetá-lo em “explorer.exe”. Para persistir no sistema, o malware adiciona um RyPO na tecla de registo “Run” com comandos para executar um script PowerShell via “cmd.exe”. A backdoor M2RAT funciona como um Trojan de acesso remoto que executa keylogging, roubo de dados, execução de comandos, e faz screenshots do desktop. A função de screenshot é ativada periodicamente e funciona de forma autónoma sem necessitar de uma comando específico do operador. Se o dispositivo móvel for infetado, o malware permite analisar o conteúdo do dispositivo e obter documentos e ficheiros de gravação de voz, ou mesmo até copiá-los para o PC para exfiltração para o servidor do atacante. Antes da exfiltração, os dados roubados são comprimidos num arquivo RAR protegido por palavra-passe e a cópia local é apagada da memória para eliminar eventuais vestígios. Além disso, o M2RAT utiliza uma secção de memória partilhada para command and control (C2), exfiltração de dados e transferência direta de dados roubados para C2 sem os armazenar no sistema comprometido. Desta forma, minimizam a troca com o C2 e dificulta a análise, uma vez que os investigadores de segurança têm de analisar a memória dos dispositivos infetados para recuperar os comandos e dados utilizados pelo malware. |
Receba todas as novidades na sua caixa de correio!
THREATS
CNCS lança alerta para campanhas de CEO fraud
OPINION
DORA e NIS2 – o mar de mudanças regulatórias
NEWS
IBM realiza evento dedicado a cibersegurança em Évora
THREATS
Novo alerta de vulnerabilidades partilhado pelo CNCS
THREATS
Microsoft descobre ferramenta de malware com ligações à Rússia
THREATS
Microsoft descobre ferramenta de malware com ligações à Rússia
THREATS
CrushFTP lança correção para vulnerabilidade zero day
THREATS
CNCS lança alerta para campanhas de CEO fraud
THREATS
Novo malware SoumniBot explora bugs do Android para evitar a deteção
THREATS
Chrome e Firefox lançam patches para mais de 35 vulnerabilidades
