Novo ladrão do PowerShortShell

Em novembro 24, 2021 O SafeBreach Labs publicou uma pesquisa sobre um novo ator de ameaça iraniano usando uma execução remota de código MSHTML da Microsoft (RCE) exploit para atingir as vítimas com um novo ladrão do PowerShell ou PowerShortShell. ShadowChasing relatou o caso pela primeira vez em sua página do Twitter. No entanto, os especialistas não conseguiram obter o hash / código do PowerShell Stealer porque não estava disponível em repositórios públicos de malware ou em outro lugar.

Em sua pesquisa, o SafeBreach Labs descreveu a análise da cadeia de ataque completa do PowerShortShell, e deu detalhes de ataques de phishing que começaram em julho deste ano. Mais importante ainda, eles conseguiram adquirir o código do PowerShell Stealer, que os pesquisadores chamaram de PowerShortShell. Em suas próprias palavras, a razão para tal nome está na estrutura do script, continha pouco mais que 150 linhas. No entanto, os pesquisadores dizem que o script do PowerShell permitiu que um invasor obtivesse acesso a uma ampla gama de informações: arquivos de telegrama, capturas de tela e o ambiente da vítima.

“Quase metade das vítimas estão localizadas nos Estados Unidos. Based on the Microsoft Word document content – which blames Iran’s leader for the “Corona massacre” and the nature of the collected data, presumimos que as vítimas podem ser iranianos que vivem no exterior e podem ser vistas como uma ameaça ao regime islâmico iraniano,” SafeBreach Labs escreveu em sua pesquisa.

Em seus ataques, o ator da ameaça explorado CVE-2021-40444 vulnerabilidade. É uma vulnerabilidade de execução remota de código do Microsoft Office MSHTML que não permite macros e requer apenas uma única aprovação para “exibir conteúdo”. Os pesquisadores acham que a campanha pode estar ligada ao regime islâmico do Irã por causa do uso de vigilância do Telegram. Gatinho Rampant, Infy ​​e gatinho feroz, Atores de ameaça do Irã, também usei. Curiosamente, aqui os atores da ameaça aplicaram o uso bastante exclusivo de explorações porque a maioria dos atores da ameaça iraniana geralmente fazem truques de engenharia social.

O ataque em si consistiu em duas etapas

O ataque em si consistiu em duas etapas: primeiro phishing e o subsequente spamming com anexos maliciosos. Os dois ataques de phishing começaram em julho 2021 quando os atores da ameaça coletaram credenciais para Instagram e Gmail. Para este assunto, eles usaram o mesmo servidor C2 Deltaban[.]Dedyn[.]Eu. Os invasores disfarçaram esta página HTML de phishing como a agência de viagens deltaban.com legítima. Um clique que transfere a vítima para um URL curto iraniano:https://yun[.]ir / jcccj. Este URL direcionaria você para fazer login[.]Dedyn[.]io / Social / Google_Finish. Um registrou o domínio em julho 2021.

Os atores da ameaça despejaram credenciais de phishing para o arquivo out.txt que qualquer um poderia simplesmente navegar. A segunda campanha de phishing envolveu o Instagram. Aqui, as credenciais também foram para o mesmo arquivo out.txt. Todo o phishing e C2 e servidor de infecção originados de 95.217.50.126.

O ataque de exploração, por sua vez, começou em setembro 15, 2021. Uma vítima recebeu um email com um documento Winword em farsi. O primeiro documento intitulado Mozdor.docx. incluiu imagens de soldados iranianos. O segundo com o título Crimes de Khamenei.docx (Khamenei Crimes.docx) disse: “Uma semana com Khamenei; Reclame contra os autores do massacre de Corona, incluindo o líder ”. Ele também tinha links para o site de notícias iraniano e a conta no Twitter de um jornalista IranWire.

Os arquivos do Word se conectariam ao servidor malicioso, execute o html malicioso, e, em seguida, solte uma dll no diretório% temp%. O arquivo mozdor.docx incluiu um exploit no arquivo document.xml.rels. Ele executou mshtml:HTTP://hora[.]Dedyn[.]io / image.html, enquanto o segundo docx executou mshtml:HTTP://hr.dedyn.io/word.html. The exfiltration of the Telegram files was done to “https://hr.dedyn.io/upload2.aspx”. Os pesquisadores não conseguiram encontrar as vítimas dos ataques, mas construíram o mapa de calor das vítimas com base nos dados disponíveis. A maioria dos especialistas em casos registrados nos Estados Unidos, Federação Russa e Holanda.