Foudre Malware

A guerra cibernética é muito mais prevalente do que um usuário normal pensa. Tudo o que você ouve ou vê nas notícias é apenas a ponta de um iceberg, e os pesquisadores de segurança precisam lidar com vários agentes de ameaça todos os dias. O Foudre Malware é uma dessas infecções usadas na guerra cibernética. Um usuário comum pode não saber muito sobre essas ameaças porque elas geralmente visam computadores corporativos. No entanto, todos podem ser alvos desse ator malicioso.

O Foudre Malware é um programa malicioso que se acredita ter sido criado por hackers iranianos apoiados pelo Estado. A operação por trás desse malware é chamada de Infy ou Prince of Persia. E não, eles não têm nenhuma relação com o jogo. A operação é conhecida desde 2007, embora se reinvente constantemente e volte com novas versões de malware. Conseqüentemente, o Infy é conhecido como APT ou Ameaça Persistente Avançada.

Infy concentra-se principalmente em PCs, e a operação emprega malware para se entregar à ciberespionagem. Ao longo dos anos, a operação empregou vários componentes de malware para espionar suas vítimas. Foudre Malware foi usado pela primeira vez em 2017. O nome do malware vem de uma de suas janelas de keylogging e significa “relâmpago” em francês.

Uma nova versão da infecção do Foudre Malware foi detectada em 2020. Como a maioria dos componentes do Foudre Malware usados anteriormente, ele é programado na linguagem de programação Delphi. Para simplificar, esse malware funciona como uma carruagem que traz uma carga útil de segundo estágio para o sistema de destino. É como uma casca de noz que, uma vez quebrada, libera o jogador real na selva. Esse player é chamado de Tonnerre Malware e discutiremos essa infecção em mais detalhes em nossa próxima entrada.

Então, como os usuários são infectados pelo Malware Foudre? Normalmente, a infecção atinge suas vítimas por meio de e-mails de spam ou phishing. Em sua maioria, são e-mails de phishing direcionados porque se destinam a certas vítimas. As versões anteriores do Foudre Malware chegavam por meio de links de saída que supostamente deveriam abrir um vídeo. No entanto, esta nova versão do Foudre Malware é iniciada quando os usuários fecham o documento perigoso e aciona a execução de uma macro maliciosa.

O documento em questão costuma ser algum tipo de foto de um oficial iraniano e seu número de telefone (o número de telefone geralmente é falso). Também há casos em que documentos supostamente enviados por várias organizações e fundações persas são usados para atrair vítimas inocentes. De qualquer forma, as vítimas não precisam clicar em qualquer lugar do documento. Basta abri-lo para que o Foudre Malware seja executado automaticamente quando o documento for fechado. Aqui está essencialmente o que acontece quando as vítimas acionam a instalação do malware:

• O macro baixa a carga útil do primeiro estágio com o Foudre Malware,
• O Foudre Malware se conecta ao seu servidor de Comando e Controle (C2) e baixa o Tonnerre Malware,
• O Tonnerre Malware começa a ser executado e recebe outros comandos.

É aqui que a casca do Foudre Malware cai e, em seguida, o Tonnerre Malware assume o controle para continuar suas atividades de espionagem. Tudo acontece nas costas da vítima. Além do mais, a versão mais recente do Foudre Malware também é melhor para evitar a detecção porque vem com três diferenças principais, em comparação com as versões anteriores.

Primeiro, ele usa a Fórmula DGA para evitar a detecção. É um algoritmo atualizado que gera domínios. Outra coisa que aumenta o nível de dissimulação é a verificação C2 RSA, em que o Foudre Malware baixa um arquivo de assinatura digital de seu C2 e o verifica. Também mencionamos que essa ameaça recebe o nome de uma de suas janelas de keylogging, mas a versão mais recente também não possui esse componente. Os pesquisadores de segurança acreditam que esta atualização permite que a infecção evite a detecção de assinaturas.

Resumindo, é possível evitar o Malware Foudre e outras infecções relacionadas se as vítimas em potencial estiverem vigilantes e revisarem seus conhecimentos sobre segurança cibernética com frequência. Por outro lado, esses agentes de ameaças são furtivos e podem ser executados em segundo plano no sistema comprometido por um longo tempo antes que alguém dê atenção. Conseqüentemente, as varreduras regulares do sistema com produtos de segurança licenciados são vitais para a detecção precoce e remoção rápida de malware.