EMPTYSPACE Downloader tem como alvo vítimas italianas
UNC4990, um ator de ameaças com motivação financeira, está utilizando dispositivos USB armados como meio inicial de infectar organizações na Itália. De acordo com um relatório da Mandiant, empresa de segurança adquirida pelo Google em 2022, os ataques visam especificamente vários setores, incluindo saúde, transporte, construção e logística.
O modus operandi do UNC4990 envolve uma infecção generalizada de USB seguida pela implantação do downloader EMPTYSPACE. Durante essas operações, o grupo depende de sites de terceiros, como GitHub, Vimeo e Ars Technica, para hospedar estágios adicionais codificados, que são baixados e decodificados via PowerShell no início da cadeia de execução.
Quem é o ator de ameaças UNC4990?
Ativo desde o final de 2020, acredita-se que o UNC4990 opere a partir de Itália, dada a sua ampla utilização da infraestrutura italiana para fins de comando e controlo (C2). O objetivo final do UNC4990 permanece obscuro e não se sabe se o grupo serve apenas como facilitador de acesso inicial para outros atores de ameaças. Em um caso, um minerador de criptomoeda de código aberto foi implantado após meses de atividade de beacon.
Mecanismo de infecção EMPTYSPACE
O processo de infecção começa quando a vítima clica duas vezes em um arquivo de atalho LNK malicioso em um dispositivo USB removível, desencadeando a execução de um script do PowerShell. Este script é responsável por baixar o EMPTYSPACE (também conhecido como BrokerLoader ou Vetta Loader) de um servidor remoto por meio de um script PowerShell intermediário hospedado no Vimeo.
Foram identificadas quatro variantes do EMPTYSPACE, escritas em Golang, .NET, Node.js e Python. Essas variantes atuam como canais para buscar cargas úteis de próximo estágio por HTTP do servidor C2, incluindo um backdoor chamado QUIETBOARD.
Durante esta fase, sites populares como Ars Technica, GitHub, GitLab e Vimeo são usados para hospedar a carga maliciosa. Notavelmente, os investigadores da Mandiant enfatizaram que o conteúdo alojado nestes serviços não representava qualquer risco direto para os utilizadores comuns, uma vez que o conteúdo isolado era benigno.
QUIETBOARD, um backdoor baseado em Python, exibe uma ampla gama de recursos. Ele pode executar comandos arbitrários, alterar endereços de carteiras criptografadas copiados para a área de transferência, propagar o malware para unidades removíveis, capturar capturas de tela e coletar informações do sistema. Além disso, o backdoor possui recursos de expansão modular, permitindo executar módulos Python independentes, como mineradores de moedas, e buscar e executar dinamicamente código Python do servidor C2.