Urso extravagante usa isca de ameaça nuclear para explorar bug de 1 clique

O grupo avançado de ameaças persistentes Fancy Bear está por trás de um campanha de phishing que usa o espectro da guerra nuclear para explorar uma falha conhecida da Microsoft com um clique. O objetivo é entregar malware que possa roubar credenciais dos navegadores Chrome, Firefox e Edge.

Os ataques da APT, ligada à Rússia, estão ligados à guerra entre a Rússia e a Ucrânia, de acordo com pesquisadores da Malwarebytes Threat Intelligence. Eles relatam que o Fancy Bear está divulgando documentos maliciosos armados com a exploração para Follina (CVE-2022-30190), uma falha conhecida da Microsoft com um clique, de acordo com um no blog publicado esta semana.

“Esta é a primeira vez que observamos o APT28 usando Follina em suas operações”, escreveram os pesquisadores no post. Fancy Bear também é conhecido como APT28, Estrôncio e Sofacy.

Em 20 de junho, os pesquisadores da Malwarebytes observaram pela primeira vez o documento transformado em arma, que baixa e executa primeiro um ladrão .Net relatado pelo Google. O Threat Analysis Group (TAG) do Google disse que o Fancy Bear já usou esse ladrão para atingir usuários na Ucrânia.

A Equipe de Resposta a Emergências Informáticas da Ucrânia (CERT-UA) também descoberto de forma independente o documento malicioso usado pelo Fancy Bear na recente campanha de phishing, de acordo com a Malwarebytes.

Urso à solta

CERT-UA previamente identificado Fancy Bear como um dos numerosos APTs que atacam a Ucrânia com ataques cibernéticos em paralelo com a invasão das tropas russas que começou no final de fevereiro. Acredita-se que o grupo esteja operando a mando da inteligência russa para coletar informações que seriam úteis para a agência.

No passado, Fancy Bear esteve ligado a ataques visando eleições nos Estados Unidos e Europa, assim como hacks contra agências esportivas e antidoping relacionado aos Jogos Olímpicos de 2020.

Os pesquisadores sinalizaram Follina pela primeira vez em abril, mas só em maio foi oficialmente identificado como uma exploração de dia zero com um clique. Follina está associada à Ferramenta de Diagnóstico de Suporte da Microsoft (MSDT) e usa o protocolo ms-msdt para carregar código malicioso do Word ou de outros documentos do Office quando eles são abertos.

O bug é perigoso por uma série de razões – entre elas sua ampla superfície de ataque, pois basicamente afeta qualquer pessoa que use o Microsoft Office em todas as versões do Windows atualmente suportadas. Se explorados com sucesso, os invasores podem obter direitos de usuário para assumir efetivamente o controle de um sistema e instalar programas, visualizar, alterar ou excluir dados ou criar novas contas.

A Microsoft recentemente corrigiu Follina em seu Patch de junho Terça-feira liberar, mas permanece sob exploração ativa por atores de ameaças, incluindo APTs conhecidos.

Ameaça de ataque nuclear

A campanha Follina da Fancy Bear tem como alvo os usuários com e-mails contendo um arquivo RTF malicioso chamado “Terrorismo Nuclear, uma ameaça muito real”, na tentativa de se aproveitar dos temores das vítimas de que a invasão da Ucrânia se transforme em um conflito nuclear, disseram pesquisadores no post. O conteúdo do documento é uma artigo do grupo de assuntos internacionais Atlantic Council que explora a possibilidade de Putin usar armas nucleares na guerra na Ucrânia.

O arquivo malicioso usa um modelo remoto incorporado no arquivo Document.xml.rels para recuperar um arquivo HTML remoto da URL http://kitten-268[.]frge[.]io/article[.]html. O arquivo HTML então usa uma chamada JavaScript para window.location.href para carregar e executar um script PowerShell codificado usando o esquema URI ms-msdt MSProtocol, disseram os pesquisadores.

O PowerShell carrega a carga final – uma variante do ladrão .Net identificado anteriormente pelo Google em outras campanhas do Fancy Bear na Ucrânia. Embora a variante mais antiga do ladrão usasse um pop-up de mensagem de erro falsa para distrair os usuários do que estava fazendo, a variante usada na campanha com tema nuclear não o faz, disseram os pesquisadores.

Em outras funcionalidades, a variante vista recentemente é “quase idêntica” à anterior, “com apenas alguns refatoradores menores e alguns comandos de suspensão adicionais”, acrescentaram.

Tal como acontece com a variante anterior, o objetivo principal do ladrão é roubar dados – incluindo credenciais de sites como nome de usuário, senha e URL – de vários navegadores populares, incluindo Google Chrome, Microsoft Edge e Firefox. O malware então usa o protocolo de e-mail IMAP para exfiltrar dados para seu servidor de comando e controle da mesma forma que a variante anterior, mas desta vez para um domínio diferente, disseram os pesquisadores.

“A variante antiga deste ladrão conectou-se ao mail[.]sartoc.com (144.208.77.68) para exfiltrar dados”, escreveram eles. “A nova variante usa o mesmo método, mas um domínio diferente, www.specialityllc[.]com. Curiosamente, ambos estão localizados em Dubai.”

Os proprietários dos sites provavelmente não têm nada a ver com o APT28, com o grupo simplesmente aproveitando sites abandonados ou vulneráveis, acrescentaram os pesquisadores.