APT28 revela o malware SkinnyBoy

O grupo Russian Advanced Persistent Threat (APT), rastreado sob os pseudônimos APT28 ou Fancy Bear, lançou recentemente um novo malware. O malware, apelidado de SkinnyBoy, foi usado contra várias instituições governamentais em 2021. Os criminosos parecem ter visado entidades associadas a relações exteriores, militares e defesa e embaixadas estrangeiras. Embora alguns dos ataques tenham como alvo membros da União Europeia, o SkinnyBoy Malware também foi descoberto em redes comprometidas pertencentes a organizações dos Estados Unidos.

Mas o que o SkinnyBoy Malware faz exatamente? Essa ameaça normalmente é enviada por meio de um e-mail de spear-phishing, que contém um documento do Microsoft Word. Embora o anexo de arquivo possa parecer legítimo, na verdade ele contém um script malicioso, que extrai e inicializa um downloader de malware. É provável que os criminosos alterem seus e-mails de phishing com base no destinatário - eles geralmente fingiam notificar o usuário sobre um convite pendente para um evento internacional futuro.

Depois que a ameaça for implantada com sucesso, ela não será iniciada imediatamente. Em vez disso, o SkinnyBoy Malware irá programar o Windows para iniciá-lo na próxima vez que for inicializado. A execução atrasada é um truque típico que os cibercriminosos usam para evitar a detecção. Uma vez executado, o SkinnyBoy Malware utilizará recursos legítimos do Windows para buscar dados sobre a configuração do software do sistema comprometido - systeminfo.exe e tasklist.exe. Além disso, ele tentará baixar e lançar payloads adicionais, mas até agora, estes não foram identificados.

Parece que o foco principal do Malware SkinnyBoy é espionagem e obter mais controle sobre o sistema / rede comprometida. Felizmente, os fornecedores de produtos antivírus já estão cientes da nova ameaça e os patches mais recentes para seus softwares devem ser mais do que suficientes para deter o ataque do Malware SkinnyBoy.