KamiKakaBot tem como alvo órgãos governamentais asiáticos
Durante fevereiro de 2023, uma série de malwares conhecidos como KamiKakaBot foram descobertos por pesquisadores da EclecticIQ.
Descobriu-se que essas instâncias de malware tinham como alvo instituições governamentais em países da ASEAN. Observou-se que os ataques ocorridos em fevereiro foram semelhantes aos relatados pelo Group-IB em janeiro de 2023, onde os invasores usaram imagens ISO para entregar o KamiKakaBot por meio da técnica de carregamento lateral de DLL. No entanto, na campanha de fevereiro, a rotina de ofuscação foi aprimorada para evitar melhor as medidas antimalware. Ao identificar várias sobreposições, os analistas do EclecticIQ foram capazes de atribuir os ataques ao grupo Dark Pink APT, ativo na região da ASEAN.
Acredita-se que o grupo Dark Pink tenha iniciado suas operações em meados de 2021 e tenha aumentado sua atividade em 2022. A principal função do KamiKakaBot é roubar dados armazenados em navegadores da web, como credenciais salvas, histórico de navegação e cookies. Os desenvolvedores do KamiKakaBot usam várias técnicas para não serem detectados enquanto executam ações maliciosas em dispositivos infectados, como binários Living-off-the-Land (LOLBINs) como MsBuild.exe.
Métodos de distribuição para KamiKaka e modo de operação
Os e-mails de phishing são usados para distribuir o KamiKakaBot, que vem na forma de um anexo de arquivo ISO malicioso. Este arquivo contém um WinWord.exe legítimo assinado pela Microsoft, que é explorado para a técnica de carregamento lateral de DLL. Quando o usuário clica em WinWord.exe, o carregador KamiKakaBot (MSVCR100.dll) localizado na mesma pasta do WinWord é automaticamente carregado na memória e executado.
O arquivo ISO malicioso também contém um documento isco do Word com uma seção criptografada codificada por XOR. O carregador KamiKakaBot utiliza esta seção para descriptografar o conteúdo codificado em XOR do arquivo chamariz e, em seguida, grava a carga útil XML descriptografada do KamiKakaBot no disco (C:\Windows\temp) e o executa por meio de um binário de vida fora da terra, MsBuild.exe.
O KamiKakaBot é capaz de extrair informações confidenciais dos navegadores Chrome, MS Edge e Firefox, e os dados roubados são compactados em um formato ZIP e enviados para o canal de bot do Telegram dos invasores. Após a infecção inicial, o invasor pode atualizar o malware ou executar código remoto no dispositivo de destino, permitindo outras atividades pós-exploração. Toda a comunicação entre o malware e o centro de comando e controle é realizada por meio de um bot do Telegram controlado pelo agente da ameaça.
