New Android malware on Play Store disables Play Protect to evade detection

Por  Sudais em 13/01/2020 no site HackHead

This malware disables Google’s only security mechanism against malware-infected apps on the Play Store.

While the Android and iOS fanbase can be found constantly at war over the advantages one offers as compared to the other, there is one place where iOS wins by miles. We are talking about security with the latest malware discovered by Kaspersky Lab among an app on the Play Store. 

Dubbed “Trojan-Dropper.AndroidOS.Shopper.a,” the trojan tricks users into being downloaded by posing with a system icon and a similar name to a legitimate Android application. Once the fish (YOU) takes the bait, it starts with its magic by collecting your device’s sensitive and not-so-sensitive information including the IMEI Number, IMSI number, the network type and the country it is in. 

Once done, it sends the data to its command & control server (C&C) from which attackers behind the campaign can coordinate their future moves. These include tasks such as “Opening links received from the remote server in an invisible window (whereby the malware verifies that the user is connected to a mobile network)” as detailed by researchers.

See: Popular Android Emoji keyboard app makes millions with unauthorized purchases

But this isn’t where it ends. Additionally, the trojan helps boost the popularity of other “sister-malicious-apps” on the Play Store by posting overly optimistic reviews. Leaving the user little to do, it also happens to install certain apps from a third party store named Apkpure[.]com with the victim’s permission. 

How it does this is by abusing an accessibility service present to facilitate the disabled. To prevent any detection, it also disables the “Google Play Protect” which is normally used to protect Android users from such malware.Currently, (as shown above) with the statistics released by researchers, it was revealed that it is the most widespread in Russia with 28.46% of infected users. Brazil and India conveniently follow at 18.70% and 14.23% respectively.

New Malware Uses Windows BITS Service to Stealthy Exfiltrate Data

Mohit Kumar in 09/09/2019 - The Hackers News

Cybersecurity researchers have discovered a new computer virus associated with the Stealth Falcon state-sponsored cyber espionage group that abuses a built-in component of the Microsoft Windows operating system to stealthily exfiltrate stolen data to attacker-controlled server.

Active since 2012, Stealth Falcon is a sophisticated hacking group known for targeting journalists, activists, and dissidents with spyware in the Middle East, primarily in the United Arab Emirates (UAE).

Dubbed Win32/StealthFalcon, named after the hacking group, the malware communicates and sends collected data to its remote command-and-control (C&C) servers using Windows Background Intelligent Transfer Service (BITS).

BITS is a communication protocol in Windows that takes unused network bandwidth to facilitate asynchronous, prioritized, and throttled transfer of files between machines in the foreground or background, without impacting the network experience.

BITS is commonly used by software updaters, including downloading files from the Microsoft servers or peers to install updates on Windows 10, messengers, and other applications designed to operate in the background.

According to security researchers at cyber-security firm ESET, since BITS tasks are more likely permitted by host-based firewalls and the functionality automatically adjusts the data transfer rate, it allows malware to stealthily operate in the background without raising any red flags.

"Compared with traditional communication via API functions, the BITS mechanism is exposed through a COM interface and thus harder for a security product to detect," the researchers say in a report published today.

"The transfer resumes automatically after being interrupted for reasons like a network outage, the user logging out, or a system reboot."

Besides this, instead of exfiltrating the collected data in plain text, the malware first creates an encrypted copy of it and then uploads the copy to the C&C server via BITS protocol.

After successfully exfiltrating the stolen data, the malware automatically deletes all log and collected files after rewriting them with random data in order to prevent forensic analysis and recovery of the deleted data.

As explained in the report, Win32/StealthFalcon backdoor has not only been designed to steal data from the compromised systems but can also be used by attackers to further deploy more malicious tools and update its configuration by sending commands through C&C server.

"The Win32/StealthFalcon backdoor, which appears to have been created in 2015, allows the attacker to control the compromised computer remotely. We have seen a small number of targets in UAE, Saudi Arabia, Thailand, and the Netherlands; in the latter case, the target was a diplomatic mission of a Middle Eastern country," the researchers say.

According to the researchers, this newly discovered malware shares its C&C servers and code base with a PowerShell-based backdoor attributed to the Stealth Falcon group and tracked by the Citizen Lab in 2016.

Hackers usaram falha Zero-day do WhatsApp para instalar secretamente spyware em telefones

por Adriano Lopes em 14 de maio de 2019 no site Mundo Hacker

Recentemente, o Whatsapp corrigiu uma vulnerabilidade severa que estava sendo explorada por invasores para instalar remotamente malwares de vigilância em alguns smartphones “selecionados”, simplesmente ligando para os números de telefone alvo através da chamada de áudio do WhatsApp.

Descoberto, armado e depois vendido pela empresa israelense NSO Group, que produz o spyware móvel mais avançado do planeta, a exploração do WhatsApp instala o spyware do Pegasus em dispositivos Android e iOS.

De acordo com um comunicado publicado pelo Facebook, uma vulnerabilidade de estouro de buffer no VOIP do WhatsApp permite que atacantes remotos executem código arbitrário em telefones de destino enviando uma série especialmente criada de pacotes SRTCP. 

Aparentemente, a vulnerabilidade, identificada como CVE-2019-3568 , pode ser explorada com sucesso para instalar o spyware e roubar dados de um telefone Android ou iPhone direcionado simplesmente fazendo uma chamada WhatsApp, mesmo quando a chamada não é atendida.

Além disso, a vítima não poderá descobrir mais sobre a invasão depois que o spyware apagar as informações de chamadas recebidas dos registros para operar furtivamente.

Embora o número exato de usuários do WhatsApp ainda não seja conhecido, os engenheiros do WhatsApp confirmaram que apenas um “número selecionado” de usuários foi alvo do spyware do NSO Group usando esta vulnerabilidade.

Enquanto isso, o Citizen Lab, um grupo de vigilância da Universidade de Toronto que está investigando as atividades do NSO Group, acredita que a vulnerabilidade foi usada para atacar um advogado de direitos humanos com base no Reino Unido recentemente, no domingo.

O spyware Pegasus do NSO Group permite que invasores acessem uma quantidade incrível de dados remotamente dos smartphones das vítimas, incluindo mensagens de texto, e-mails, mensagens WhatsApp, detalhes de contatos, registro de chamadas, localização, microfone e câmera – tudo sem o conhecimento das vítimas.

O desagradável spyware já foi usado contra ativistas de direitos humanos e jornalistas , do México aos Emirados Árabes Unidos , e funcionários da Anistia Internacional na Arábia Saudita e outro defensor dos direitos humanos saudita no exterior no ano passado.

A vulnerabilidade afeta todos, exceto a versão mais recente do WhatsApp no ​​iOS e Android, o que significa que a falha afetou todos os 1,5 bilhão de pessoas que usam o WhatsApp até ontem, quando o Facebook finalmente corrigiu o problema.

“O problema afeta o WhatsApp para Android antes de v2.19.134, WhatsApp Business para Android antes de v2.19.44, WhatsApp para iOS antes de v2.19.51, WhatsApp Business para iOS antes de v2.19.51, WhatsApp para Windows Phone antes de v2. 18.348 e WhatsApp para Tizen antes da v2.18.15, “diz o Facebook.

Os engenheiros do WhatsApp descobriram a vulnerabilidade no início deste mês e alertaram o Departamento de Justiça sobre o assunto. Eles incentivam os usuários do iOS e do Android a atualizar seus aplicativos para a versão mais recente do popular aplicativo de mensagens o mais rápido possível. 

O malware do futuro terá superpoderes de inteligência artificial

Por Ben Dickson em 14 de abril de 2019 no site Gizmodo

Gizmodo - UOL

Nos últimos dois anos, aprendemos que os algoritmos de aprendizado de máquina podem manipular a opinião pública, causar acidentes de carro fatais, criar pornografia falsa e manifestar comportamentos extremamente sexistas e racistas.

Agora, ameaças de segurança cibernética que usam aprendizagem profunda e redes neurais estão surgindo. Estamos apenas começando a vislumbrar um futuro no qual os criminosos cibernéticos enganam as redes neurais para levá-las a cometer erros fatais e usam o aprendizado profundo para ocultar o malware e encontrar seu alvo entre milhões de usuários.

Parte do desafio em proteger os aplicativos de inteligência artificial reside no fato de que é difícil explicar como eles funcionam, e até mesmo as pessoas que os criam frequentemente têm problemas para entender seu funcionamento interno. Mas, a menos que nos preparemos para o que está por vir, vamos aprender a respeitar e reagir a essas ameaças da maneira mais difícil.

Na mira das inteligências artificiais

Em 2010, os Estados Unidos e Israel lançaram o Stuxnet, um malware destinado a incapacitar a infraestrutura nuclear do Irã. O Stuxnet foi projetado para se espalhar autonomamente, mas para liberar sua carga maliciosa somente se ele se encontrasse dentro de uma configuração de rede idêntica à da instalação nuclear do Irã em Natanz.

O programa Stuxnet ainda é um dos vírus mais sofisticados já criados, e o ataque altamente direcionado só foi possível graças às informações e recursos disponíveis para as agências de inteligência.

Mas na era da IA, a criação de malwares direcionados pode ser tão fácil quanto treinar uma rede neural com imagens ou amostras de voz do alvo pretendido. Em agosto passado, os pesquisadores da IBM apresentaram o DeepLocker, um malware que usava redes neurais profundas para ocultar sua carga maliciosa. Ele é uma variação do ransomware da WannaCry, que só era ativado quando detectava seu alvo.

Eles incorporaram o DeepLocker em um aplicativo de videoconferência aparentemente inocente. Em um cenário hipotético, o aplicativo poderia ser instalado e usado por milhões de usuários sem manifestar qualquer comportamento malicioso.

Enquanto isso, no entanto, o malware usa uma rede neural de reconhecimento facial, sintonizada na imagem do alvo pretendido, para examinar o feed de vídeo da webcam do computador para identificar o seu alvo.

Assim que o rosto do alvo aparece na frente da câmera de um computador executando o aplicativo infectado, o DeepLocker ativa seu ransomware, criptografando todos os arquivos no computador da vítima.

“Embora o cenário de reconhecimento facial seja um exemplo de como o malware pode alavancar a inteligência artificial para identificar um alvo, outros identificadores como reconhecimento de voz ou localização geográfica também poderiam ser usados ​​por um malware alimentado por inteligência artificial para encontrar sua vítima”, disse Marc Stoecklin, líder pesquisador do projeto, quando a IBM divulgou suas descobertas.

É fácil ver como o mesmo modelo pode ser aplicado de outras maneiras perigosas, como prejudicar ou espionar pessoas de um gênero ou raça específicos.

Um aspecto ameaçador do malware com tecnologia de inteligência artificial, como o DeepLocker, é que ele usa a característica “caixa preta” do aprendizado profundopara ocultar sua carga maliciosa.

Pesquisadores de segurança geralmente descobrem e documentam malwares por engenharia reversa, os ativando em condições livres e extraindo suas assinaturas digitais e comportamentais. Infelizmente, as redes neurais são extremamente difíceis de fazer engenharia reversa, o que torna mais fácil para os invasores escaparem das ferramentas e analistas de segurança.

Fazendo a IA agir contra si mesma

Outra tendência crescente de ameaças baseadas em IA são os ataques adversários, nos quais os agentes maliciosos manipulam os dados de entrada para forçar as redes neurais a agirem de maneira errática. Já existem vários relatórios e estudos publicados que mostram como esses ataques podem funcionar em diferentes cenários.

A maior parte do trabalho realizado nessa área é focado em enganar algoritmos de visão computacional, o ramo da inteligência artificial que permite que os computadores classifiquem e detectem objetos em imagens e vídeos. Essa é a tecnologia usada em carros autônomos, reconhecimento facial e aplicativos de câmeras inteligentes, como o Google Lens.

Mas o problema é que não sabemos exatamente como as redes neurais por trás dos algoritmos de visão computacional definem as características de cada objeto, e é por isso que elas podem falhar de formas grandiosas e inesperadas.

Por exemplo, alunos do MIT mostraram que fazendo pequenos ajustes em uma tartaruga de brinquedo, eles poderiam enganar os algoritmos de visão computacional para classificá-la como um rifle. Em um estudo semelhante, pesquisadores da Carnegie Mellon University mostraram que podiam enganar os algoritmos de reconhecimento facial para confundi-los com celebridades usando óculos especiais. Em outro caso, o software usado pela Polícia Metropolitana do Reino Unido para detectar pornografia infantil sinalizou imagens de dunas como fotos de nudez.

Embora esses exemplos sejam relativamente inofensivos, as coisas podem se tornar problemáticas, já que as redes neurais estão sendo identificadas em um número crescente de situações críticas. Por exemplo, uma pesquisa conjunta da Universidade de Michigan, da Universidade de Washington e da Universidade da Califórnia em Berkeley, descobriu que ao colar pequenos adesivos em preto e branco em placas de “PARE”, eles poderiam torná-los indetectáveis ​​aos algoritmos de IA usados pelos carros que dirigem sozinhos.

A visão humana não é perfeita e nossos olhos frequentemente falham. Mas em nenhum desses casos um humano cometeria o mesmo erro que a inteligência artificial. Todos esses estudos ressaltam um fato muito importante: embora os algoritmos de visão computacional frequentemente tenham desempenho semelhante ou superior ao dos humanos na detecção de objetos, sua funcionalidade é significativamente diferente da visão humana e não podemos prever suas falhas até que elas aconteçam.

Devido à natureza secreta das redes neurais, é extremamente difícil investigar suas vulnerabilidades. Se os agentes mal-intencionados as descobrirem primeiro, por acaso ou por tentativa e erro, eles terão mais facilidade em ocultá-las e explorá-las para forçar os aplicativos de IA a falharem de maneiras prejudiciais. Esta manipulação intencional de algoritmos IA é conhecida como ataques adversários.

Os ataques adversários não se limitam aos algoritmos de visão computacional. Por exemplo, os pesquisadores descobriram que os hackers poderiam manipular arquivos de áudio de uma forma que seria indetectável para o ouvido humano, mas silenciosamente enviaria comandos para um dispositivo acionado pela voz, como um alto-falante inteligente.

Desbloqueio da caixa preta

Para ser claro, os ataques cibernéticos da IA ​​ainda não viraram commodities. O desenvolvimento de malwares de inteligência artificial e ataques adversários ainda é muito difícil, e eles não funcionam de maneira consistente. Mas é apenas uma questão de tempo até que alguém desenvolva as ferramentas que os tornem amplamente disponíveis.

Nós só precisamos observar como o FakeApp, um aplicativo que simplificou a troca de rosto com o uso de deep learning, desencadeou uma onda de vídeos pornográficos falsos e preocupações crescentes sobre as ameaças de falsificação e fraude baseadas em IA.

Existem várias defesas propostas contra os ataques adversários. Mas até os pesquisadores admitem que nenhuma das soluções é completa, porque na maioria das vezes tentam lidar com a caixa preta da rede neural, a cutucando de ângulos diferentes para desencadear qualquer possível surpresa desagradável que elas possam guardar.

Enquanto isso, o malware baseado em inteligência artificial ainda não tem solução documentada. De acordo com os primeiros pesquisadores a se conscientizarem sobre isso, não podemos nem saber se já existe um malware que funciona com IA ou não.

Um componente muito importante para proteger a IA é torná-la compreensível e transparente. Isso significa que as redes neurais devem ser capazes de explicar os passos que tomam para chegar a uma decisão ou permitir que os pesquisadores façam engenharia reversa e reconstruam essas etapas.

É difícil criar uma IA explicável sem comprometer o desempenho das redes neurais, mas já existem vários esforços em andamento. Isso inclui um projeto financiado pelo governo dos Estados Unidos, liderado pela DARPA, o braço de pesquisa do Departamento de Defesa americano.

Regulamentações como a GDPR da União Européia e o CCPA da Califórnia exigem que as empresas de tecnologia sejam transparentes sobre suas práticas de coleta e processamento de dados e sejam capazes de explicar as decisões automatizadas que seus aplicativos tomam. A conformidade com essas regras também deve ajudar imensamente a alcançar a IA explicável.

E se as empresas de tecnologia estiverem preocupadas em perder sua vantagem competitiva ao tornar compreensível o funcionamento interno de seus algoritmos proprietários, devem considerar que nada será mais prejudicial à sua reputação — e, por extensão, ao resultado final — do que um acidente de segurança atribuído a seus algoritmos de IA.

Foi necessária uma crise global de manipulação de eleições em 2016 para o mundo acordar para o poder destrutivo da manipulação algorítmica. Desde então, os algoritmos de IA tornaram-se ainda mais proeminentes em tudo o que fazemos. Não devemos esperar que outro desastre de segurança aconteça antes de decidirmos resolver o problema da caixa preta da inteligência artificial.

New cryptocurrency malware SpeakUp hits Linux & Mac devices

Por Waqas em 04/02/2019 no site HackHead

The IT security researchers at Check Point have identified a new malware called SpeakUp targeting Linux and macOS – The new findings prove that there has been a surge in malware attacks against Linux and Apple devices.

SpeakUp is a new backdoor Trojan that is being distributed by cybercriminals through a malicious new campaign designed to target servers running six different Linux versions and macOS systems. The malware manages to target multiple previously identified security flaws and can evade antivirus programseffectively.

Check Point researchers noted that the hackers are utilizing the exploit for ThinkPHP (CVE-2018-20062) remote code execution flaw for infecting Linux and macOS servers. Hackers often prefer backdoor Trojans because this malware can allow them easy access to compromised devices and also let them control the infected devices by establishing a connection with a C&C server. Usually, such malware help attackers in running campaigns to gain full control of the machine.

While the exact identity of the threat actor behind this new attack is still unconfirmed, Check Point Researchers were able to correlate SpeakUp’s author with malware developer under the name of Zettabit. Although SpeakUp is implemented differently, it has a lot in common with Zettabit’s craftsmanship, said researchers in their blog post.

According to researchers, SpeakUp exploits ThinkPHP, which is a framework that almost 90% of the leading 1M domains in America use. Furthermore, it can infect Mac machines without getting detected, which is a phenomenal capability. At the moment, SpeakUp is mainly targeting devices in East Asia, Latin America, and mostly AWS hosted devices are its prime victims. Approx. 70,000 servers across the globe are targeted in this campaign.

Check Point researchers, who identified the campaign around three weeks back, assessed that exploiting the ThinkPHP vulnerability is only the initial attack vector that helps the Trojan infect the device. Later, the hackers modify the local cron utility to obtain boot persistence, execute files that are downloaded from a remote C&C server, run shell commands, and uninstall or upgrade itself.

Moreover, SpeakUp has a built-in Python script that lets the malware to spread alongside the local network. The Python script scans local networks to locate open ports as well as brute-forces systems that it identifies in the nearest vicinity. This is performed using a list of pre-defined login credentials.

It also uses seven different exploits including remote command execution and Oracle WebLogic Server component of Oracle Fusion Middleware, etc., to control unpatched systems. After infecting new machines the malware deploys itself on the systems.

Apparently, the attackers are using SpeakUp to deploy Monero cryptocurrency miners on infected devices and so far, the group has managed to make 107 Monero coins (around $4,500). Although currently, the attackers are exploiting the Chinese PHP framework it is also possible that they switch to other exploits to further expand the scope of their backdoor and the range of targets. However, they haven’t yet targeted anything other than ThinkPHP framework. 

Attackers successfully hide Mac malware in ad images

By Waqas em 25/01/2019 no site Hack Head

MacBooster

Malware campaigns have become quite regular on Apple devices and as per the new report from Confiant, a cyber-security firm, there’s a new group on the block called that is specifically targeting Apple users through malvertising. The group called VeryMal has employed steganography techniquethis time to prevent detection and hide the malicious code in an advertisement’s images.

The campaign has been analyzed by both Confiant and Malwarebytes and the researchers believe that it has been active since January 11 and lasted until January 13. The infected ad was viewed over 5 million times during the time that it was active.

Ad viewers claim that the campaign involved a tried-and-tested tactic of displaying a notification that the user needs to update the Adobe Flash Player and to do this the user has to open a file to download the new version. Whoever accepted the download ended up running malware on their Mac and the device was infected with the Shlayer Trojan.

“As malvertizing detection continues to mature, sophisticated attackers are starting to learn that obvious methods of obfuscation are no longer getting the job done. Techniques like steganography are useful for smuggling payloads without relying on hex encoded strings or bulky lookup tables,” Confiant researcher Eliya Stein revealed.

It is a noteworthy attempt from VeryMal because usually, attackers find it difficult to evade the numerous protection layers of the ad networks and user desktops. But, VeryMal successfully hides the payload within the ad’s graphics file using steganography. The code can create a Canvas object, extract an image file from a certain URL, and create a function to check if the browser supports a particular font.

The results of payload executed by the advertising-based malware attack

In case the font check fails, the campaign won’t work, but if it is successful then the image file’s underlying data is looped through and each loop determines a pixel value that later becomes an alphanumeric character. The character is later converted into a string and executed.

However, despite harboring the payload, the image is harmless itself if someone views it and only becomes harmful when the malicious code is executed and the browser is redirected to a link containing the payload.

Mac users are urged to remain alert and don’t pay heed to all the online notifications that they see on their desktop screens because it may be a part of malvertising campaign. They should specifically be wary of notices that ask users to install software updates and provide an unofficial link for the download.

What happens in steganography is that hackers extract the file and hide malicious code in image’s User Comment EXIF metadata field.

This is not the first time that hackers have used steganography technique to drop malware. Just last month, researchers discovered two memes hiding commands in their metadata with the help of steganography spreading malware on Twitter. 

In another attack, malicious images were hosted on GoogleUserContent CDN using steganography, however, what’s shocking is that these attacks are not limited to computer users. Back in 2016, steganography was also used for deploying over 60 malicious applications on Play Store.

Popular free Android VPN apps on Play Store contain malware

Por Waqas em 23/01/2019 no site HackRead

Restore Privacy

If you want to ensure optimal privacy while surfing the web, a VPN (virtual private network) is the only reliable option. In this regard, a majority of web and smartphone users rely upon free VPN services, which according to the latest research is a risky step.

In 2017, researchers identified that 38% of Android VPN apps on Play Store were plagued with Malware. Now, in a recently conducted study, it was concluded that some of the most widely used free VPN applications for Android devices harbor malware, permission overreach and can lead to DNS leaks.

For the study, researchers from Top10VPN, a UK-based Virtual Private Network comparison service examined around 150 free and famous Android VPN apps and identified that approx. 90% of them were capable of compromising the security and privacy of web users via various methods. A worrying fact is that these apps have already been downloaded more than 260 million times on Google Play Store.

Researchers claim that 99 out of the 150 VPN apps request for user location, device information, camera access, and microphone access; it is a risk factor considering that these apps are specifically designed to keep the user anonymous.

The head of the research Simon Migliano reported that DNS leaks were identified in more than 38 of these 150 apps. DNS leaks can easily expose private user data to countless insecure links and happen to be a grave security threat. Furthermore, more than 27 VPN apps contained malware when checked on VirusTotal.

Migliano said that the research team couldn’t upgrade those apps that offered premium versions and after additional testing, they became certain that a majority of the key privacy issues such as “leaks, intrusive permissions, and risky code functions” will be hard to eradicate fully.

“It’s possible that network performance may be better in some instances as paid subscribers gain access to the full range of servers,” adds Migliano.

Do remember that VPNs that aren’t free are more reliable than free ones. Because when developers put their apps for free, they usually look for monetizing through different and sometimes shady ways. The complete list of malicious VPN apps is available here and if you are using any of these apps consider removing them and moving on to paid ones. 

Something about Top10VPN

This is not the first time when Top10VPN has come up with astonishing research work. Previously, the company discoveredhow cybercriminals on Dark Web are selling stolen PayPal, Amazon, eBay, Wallmart, Tesco, Airbnb, Facebook, Twitter, Netflix and Deliveroo accounts. 

Moreover, Top10VPN researchers also identified Dark Web marketplaces offering hacking tools and ready-made phishing pages for Facebook, Apple, PayPal, and Netflix, etc. for just $2.

Novo malware encontrado usando o Google Drive como seu servidor de comando e controle

Redação Mundo Hacker em 21 de janeiro de 2019

Como a maioria das ferramentas de segurança também está de olho no tráfego da rede para detectar endereços IP mal-intencionados, os invasores estão adotando cada vez mais a infraestrutura de serviços legítimos em seus ataques para ocultar suas atividades maliciosas.

Pesquisadores de segurança cibernética identificaram agora uma nova campanha de ataque de malware vinculada ao notório grupo APH DarkHydrus que usa o Google Drive como seu servidor de comando e controle (C2).

O DarkHydrus apareceu pela primeira vez em agosto do ano passado, quando o grupo APT estava aproveitando a ferramenta Phishery de código aberto para realizar uma campanha de coleta de credenciais contra entidades governamentais e instituições de ensino no Oriente Médio.

A última campanha maliciosa conduzida pelo grupo APH DarkHydrus também foi observada contra alvos no Oriente Médio, de acordo com relatórios publicados pelo 360 Threat Intelligence Center ( 360TIC ) e pela Palo Alto Networks.

Desta vez, os invasores avançados estão usando uma nova variante do Trojan de backdoor, chamado RogueRobin , que infecta os computadores das vítimas, enganando-os para abrir um documento do Microsoft Excel contendo macros VBA incorporadas, em vez de explorar qualquer vulnerabilidade de dia zero do Windows.

A ativação da macro descarta um arquivo de texto mal-intencionado (.txt) no diretório temporário e aproveita o aplicativo legítimo ‘regsvr32.exe’ para executá-lo, instalando eventualmente o backdoor RogueRobin escrito em linguagem de programação C # no sistema comprometido.

De acordo com os pesquisadores da Palo Alto, o RogueRobin inclui muitas funções invisíveis para verificar se ele é executado no ambiente sandbox, incluindo a verificação de ambientes virtualizados, pouca memória, contagens de processador e ferramentas de análise comuns em execução no sistema. Também contém código anti-debug.

Como a versão original, a nova variante do RogueRobin também usa o encapsulamento DNS – uma técnica de envio ou recuperação de dados e comandos por meio de pacotes de consulta DNS – para se comunicar com seu servidor de comando e controle.

No entanto, os pesquisadores descobriram que, além do tunelamento de DNS, o malware também foi projetado para usar as APIs do Google Drive como um canal alternativo para enviar dados e receber comandos dos hackers.

“O RogueRobin carrega um arquivo para a conta do Google Drive e verifica continuamente o horário de modificação do arquivo para ver se o ator fez alguma alteração. O ator primeiro modifica o arquivo para incluir um identificador exclusivo que o Trojan usará em comunicações futuras, “Pesquisadores de Palo Alto dizem.A nova campanha de malware sugere que os grupos de hackers da APT estão mudando mais para abusar de serviços legítimos para sua infra-estrutura de comando e controle para evitar a detecção.

Deve-se observar que, como as macros VBA são um recurso legítimo, a maioria das soluções antivírus não sinaliza nenhum aviso nem bloqueia documentos do MS Office com código VBA.

A melhor maneira de se proteger de tais ataques de malware é sempre desconfiar de qualquer documento não convidado enviado por um e-mail e nunca clicar em links dentro desses documentos, a menos que esteja verificando corretamente a fonte.

Fonte TheHackerNews