Dll Side-Loading

Especialistas em segurança revelaram uma nova campanha de malware que visa entidades governamentais e políticas dos Estados Unidos, utilizando iscas temáticas relacionadas a desenvolvimentos geopolíticos entre os EUA e a Venezuela. O malware, conhecido como LOTUSLITE, é um backdoor que se infiltra em sistemas através de um arquivo ZIP malicioso intitulado ‘US now deciding what’s next for Venezuela.zip’, que contém uma DLL maliciosa lançada por técnicas de DLL side-loading. A atividade foi atribuída a um grupo patrocinado pelo Estado chinês, conhecido como Mustang Panda, que é reconhecido por utilizar extensivamente essas técnicas para implantar suas ferramentas. O LOTUSLITE, um implante em C++, se comunica com um servidor de comando e controle (C2) e permite atividades como execução remota de comandos e exfiltração de dados. Embora a campanha não tenha sido confirmada como bem-sucedida, ela destaca a eficácia de técnicas de phishing direcionado em um contexto geopolítico. A análise sugere que, apesar da falta de recursos avançados de evasão, a confiabilidade operacional do malware é uma preocupação significativa.

Especialistas em segurança revelaram uma campanha ativa de malware que explora uma vulnerabilidade de side-loading de DLL em um binário legítimo associado à biblioteca open-source c-ares. Os atacantes utilizam uma versão maliciosa da libcares-2.dll em conjunto com qualquer versão assinada do ahost.exe, frequentemente renomeada, para executar seu código e contornar defesas de segurança tradicionais. A campanha tem distribuído uma variedade de malwares, incluindo trojans como Agent Tesla e CryptBot, visando principalmente funcionários de setores como finanças e cadeia de suprimentos, com iscas em vários idiomas, incluindo português. O ataque se aproveita da técnica de hijacking da ordem de busca, permitindo que o malware execute o conteúdo da DLL maliciosa em vez da legítima. Além disso, a Trellix reportou um aumento em fraudes de phishing no Facebook, utilizando a técnica Browser-in-the-Browser para enganar usuários e roubar credenciais. A análise destaca a crescente sofisticação dos ataques que abusam de softwares legítimos e serviços de nuvem para evitar detecções e garantir acesso remoto persistente.

O grupo de cibercriminosos conhecido como Storm-0249 está mudando sua abordagem, deixando de ser apenas um corretor de acesso inicial para adotar táticas mais sofisticadas, como spoofing de domínio, side-loading de DLL e execução de PowerShell sem arquivo, visando facilitar ataques de ransomware. Segundo um relatório da ReliaQuest, essas técnicas permitem que o grupo contorne defesas, infiltre redes e opere de forma indetectável, o que representa uma preocupação significativa para as equipes de segurança. O Storm-0249, que já foi identificado pela Microsoft como um corretor de acesso inicial, tem colaborado com outros grupos de ransomware, como o Storm-0501, vendendo acesso a redes corporativas. Recentemente, o grupo utilizou uma campanha de phishing com temas relacionados a impostos para infectar usuários nos EUA. Uma das táticas mais recentes envolve o uso de engenharia social para induzir as vítimas a executar comandos maliciosos, utilizando o utilitário legítimo “curl.exe” para baixar scripts PowerShell de domínios falsificados que imitam a Microsoft. Isso resulta na execução de pacotes MSI maliciosos com privilégios de sistema, permitindo que o grupo mantenha comunicação com servidores de comando e controle de forma furtiva. A mudança para ataques mais precisos, que exploram a confiança em processos assinados, aumenta o risco de ataques de ransomware direcionados, especialmente em um cenário onde grupos como LockBit e ALPHV utilizam identificadores de sistema únicos para criptografar dados de forma eficaz.

Uma nova campanha de ciberespionagem atribuída ao grupo Mustang Panda, também conhecido como TA416, foi identificada pela IBM X-Force. Essa campanha, que visa a comunidade tibetana por motivos políticos, utiliza uma técnica refinada de DLL side-loading. O ataque começa com e-mails de phishing que contêm um arquivo ZIP malicioso, que abriga um executável disfarçado e uma biblioteca de link dinâmico (DLL) oculta. O executável, chamado ‘Voice for the Voiceless Photos.exe’, é visível, enquanto a DLL, ’libjyy.dll’, permanece oculta devido a atributos de arquivo específicos. Ao ser executado, o loader disfarçado carrega a DLL e inicia o malware Claimloader, que realiza a decriptação de strings, estabelece mecanismos de persistência e executa um shellcode adicional. O Claimloader se copia em um diretório falso para garantir sua execução contínua, enquanto o shellcode Publoader se conecta aos servidores de comando e controle do Mustang Panda. Essa campanha demonstra a sofisticação crescente do grupo e sua capacidade de evadir detecções forenses, utilizando técnicas de ocultação e criptografia de strings personalizadas.