Malware DownEx usado em campanha de espionagem

Um novo tipo de malware chamado DownEx foi descoberto por pesquisadores romenos de cibersegurança.

Ele está sendo usado em uma campanha de espionagem sofisticada que tem como alvo organizações governamentais na Ásia Central, com evidências sugerindo o envolvimento de agentes de ameaças baseados na Rússia. Os ataques são realizados por meio de e-mails de spear phishing contendo uma carga armadilhada, que é disfarçada como um arquivo do Microsoft Word.

Depois que o anexo é aberto, um documento chamariz é exibido enquanto um aplicativo HTML malicioso é executado em segundo plano. Este arquivo HTA foi projetado para estabelecer contato com um servidor remoto de comando e controle para recuperar uma carga útil do próximo estágio, que se acredita ser um backdoor para estabelecer persistência. Os invasores também usam ferramentas personalizadas para atividades pós-exploração, incluindo binários baseados em C/C++ para enumerar recursos de rede, um script Python para receber instruções para roubar arquivos, excluir outros malwares e capturar capturas de tela e um malware baseado em C++ chamado DownEx para exfiltrar arquivos para o servidor C2.

Duas outras variantes do DownEx também foram descobertas. Os pesquisadores observaram ainda que este é um ataque sem arquivo, o que significa que o script malicioso existe apenas na memória e nunca chega às unidades da vítima.

O que é malware sem arquivo e o que o torna particularmente perigoso?

O malware sem arquivo é um tipo de software malicioso que opera na memória do computador, sem deixar rastros no disco rígido. Isso torna particularmente difícil detectar e remover usando um software antivírus tradicional porque não há arquivos para verificar. Em vez de depender de um arquivo ou executável, o malware sem arquivo geralmente é distribuído por meio de técnicas como engenharia social, explorações ou macros maliciosas em documentos.

Uma das principais características do malware sem arquivo é que ele usa programas ou ferramentas legítimas já presentes no sistema, como PowerShell ou Windows Management Instrumentation (WMI), para realizar suas atividades maliciosas. Ao fazer isso, o malware sem arquivo pode se misturar com a atividade legítima do sistema e evitar a detecção pelo software antivírus tradicional.

Outra razão pela qual o malware sem arquivo é particularmente perigoso é que muitas vezes ele pode contornar medidas de proteção de endpoint, como firewalls, sistemas de detecção e prevenção de intrusão (IDS/IPS) e outras ferramentas de segurança que dependem de assinaturas baseadas em arquivo ou algoritmos de correspondência de padrões. Além disso, como não grava nada no disco, pode permanecer indetectável por períodos mais longos e tem mais chances de atingir seus objetivos antes de ser descoberto.

O malware sem arquivo é frequentemente usado em ataques direcionados, como aqueles contra instituições financeiras ou outros alvos de alto valor, em que o objetivo é obter acesso a informações ou sistemas confidenciais. Ele também pode ser usado para ataques mais generalizados, como campanhas de ransomware, em que os invasores procuram infectar o maior número possível de sistemas.