Campanha de malware SquidLoader atinge empresas financeiras de Hong Kong
O Centro de Pesquisa Avançada Trellix expôs uma nova onda do malware SquidLoader altamente sofisticado, visando ativamente instituições de serviços financeiros em Hong Kong . Essa descoberta, detalhada na análise técnica da Trellix , compartilhada com o Hackread.com, destaca uma ameaça significativa devido às taxas de detecção quase nulas do malware no VirusTotal no momento da análise. As evidências também apontam para uma campanha mais ampla, com amostras semelhantes observadas visando entidades em Singapura e na Austrália.
O ataque começa com e-mails de spear-phishing escritos em mandarim, cuidadosamente elaborados para se passar por instituições financeiras. Esses e-mails enviam um arquivo RAR protegido por senha contendo um executável malicioso. O próprio corpo do e-mail é crucial para o golpe, pois fornece a senha para o anexo. O assunto geralmente se apresenta como "Formulário de Registro para Investidores do Bond Connect que Lidam com Negócios de Câmbio por Meio de Bancos Estrangeiros".
O e-mail alega ser de um representante financeiro, solicitando que o destinatário verifique e confirme a "cópia digitalizada do formulário de registro de negócios de câmbio do investidor Bond Connect" anexada. Este arquivo é habilmente disfarçado, não apenas imitando um ícone de documento do Microsoft Word, mas também adotando falsamente as propriedades de arquivo de um AMDRSServ.exe legítimo para contornar a análise inicial.
Após a execução, o SquidLoader desencadeia uma infecção complexa de cinco etapas. Primeiro, ele descompacta sua carga principal e, em seguida, inicia o contato com um servidor de Comando e Controle ( C2 ) usando um caminho de URL que imita serviços legítimos do Kubernetes (por exemplo, /api/v1/namespaces/kube-system/services ) para se misturar ao tráfego normal da rede.
Essa comunicação C2 inicial transmite informações críticas do host, incluindo endereço IP, nome de usuário, nome do computador e versão do Windows, de volta aos seus operadores. Por fim, o malware baixa e executa um Cobalt Strike Beacon, que estabelece uma conexão com um servidor C2 secundário em um endereço diferente (por exemplo, 182.92.239.24 ), concedendo aos invasores acesso remoto persistente.
Um dos principais motivos para o perigo do SquidLoader é sua ampla gama de técnicas antianálise, antisandbox e antidepuração. Isso inclui a verificação de ferramentas de análise específicas, como IDA Pro ( ida.exe ) ou Windbg ( windbg.exe ), e nomes de usuário comuns de sandbox .
Notavelmente, ele emprega um sofisticado truque de encadeamento que envolve longos períodos de inatividade e Chamadas de Procedimento Assíncronas (APCs) para detectar e escapar de ambientes emulados. Caso detecte qualquer tentativa de análise, o malware se autoencerra. Após as verificações, exibe uma mensagem pop-up enganosa em mandarim: "O arquivo está corrompido e não pode ser aberto", exigindo interação do usuário, o que pode impedir sandboxes automatizadas.
“Suas complexas técnicas antianálise, antisandbox e antidepuração, juntamente com suas baixas taxas de detecção, representam uma ameaça significativa às organizações visadas”, enfatizaram os pesquisadores da Trellix em seu relatório .
Os ataques observados em vários países destacam a natureza global dessa ameaça em evolução, incentivando instituições financeiras no mundo todo, especialmente em Hong Kong, Cingapura e Austrália, a aumentar sua segurança contra adversários tão evasivos.
HackRead
