LuminousMoth APT vai atrás de alvos nas Filipinas e em Mianmar

Os especialistas em segurança cibernética estão rastreando uma nova campanha de malware, que tem como alvo usuários na Ásia. Até agora, os criminosos por trás dessa operação têm confiado exclusivamente em e-mails de spearphishing. A campanha deles conseguiu infectar mais de 1.400 vítimas nas Filipinas e cerca de 100 em Mianmar. Os criminosos, rastreados sob o pseudônimo LuminousMoth APT, podem ser uma subdivisão de um grupo maior de Ameaça Persistente Avançada (APT) ativo na região - HoneyMyte. Outro ataque recente contra usuários e organizações em Mianmar envolveu o Malware KilllSomeOne .

Payload do LuminousMoth APT espalhado por drives USB sequestrados

A carga útil dos hackers está hospedada no serviço Dropbox e um link para ela pode ser encontrado nos emails de spearphishing. O arquivo que os destinatários acabam baixando é um arquivo RAR que foi disfarçado para se parecer com um documento do Microsoft Word. Uma vez em execução, o implante malicioso começa a exfiltrar dados para o servidor dos atacantes. Ele também pode se espalhar lateralmente, plantando sua carga útil em unidades USB conectadas. Suas outras habilidades incluem roubar dados do navegador Google Chrome, bem como se disfarçar como uma versão do popular aplicativo Zoom.

A operação de roubo de dados, que o LuminousMoth APT executa, é simples - ele verifica o disco rígido em busca de formatos de arquivo específicos e os transfere para o servidor do invasor. Ele faz isso periodicamente e faz verificações extras para garantir que não copiará os dados já existentes. Surpreendentemente, o componente ladrão de navegador é muito simplista, considerando o escopo do ataque. Ele tem como alvo apenas o Google Chrome e apenas tenta roubar cookies em vez de outras informações.

Até agora, os pesquisadores não conseguiram identificar o motivo pelo qual a operação parece ter muito mais sucesso nas Filipinas do que em Mianmar. As operações de espionagem do LuminousMoth APT, a infraestrutura de rede e outros recursos se sobrepõem significativamente às características do HoneyMyte APT.