Hackers do grupo APT37 usam arquivos JPEG para atacar sistemas Windows através do "mspaint.exe"

Uma nova e sofisticada onda de ciberataques, atribuída ao notório grupo hacker APT37 (também conhecido como Reaper), ligado à Coreia do Norte, está utilizando malware avançado oculto dentro de arquivos de imagem JPEG para comprometer sistemas Microsoft Windows. A tática representa uma perigosa evolução nas técnicas de evasão e ataques fileless (sem arquivo).

Pesquisadores de segurança do Genians Security Center (GSC) identificaram recentemente uma nova variante do infame malware RoKRAT, uma ferramenta característica do APT37. Diferente de versões anteriores, esta variante emprega um complexo processo de injeção de shellcode em dois estágios, projetado especificamente para dificultar a análise forense e contornar os controles de segurança tradicionais.

A principal preocupação reside no uso de esteganografia pelo grupo: o código malicioso é ocultado dentro do que parecem ser arquivos de imagem inofensivos, tornando a detecção exponencialmente mais desafiadora para as defesas de endpoint.

O Processo de Infecção Aprimorado do RoKRAT

A campanha atual, observada principalmente na Coreia do Sul, é distribuída através de arquivos compactados (por exemplo, "Manuscrito de Inteligência e Contrainteligência Nacional.zip") que contêm arquivos de atalho do Windows (.lnk) de grande tamanho.

Esses atalhos incorporam vários componentes ocultos, incluindo um documento legítimo para servir de isca, arquivos de script e shellcode, e comandos PowerShell projetados para descriptografar e executar cargas maliciosas subsequentes. Ao explorar a confiança do usuário em arquivos aparentemente rotineiros, o APT37 maximiza a probabilidade de sucesso da invasão.

Uma vez iniciada, essa cadeia de ataque em múltiplos estágios executa um script em lote que inicia o PowerShell. O script então decodifica uma carga de shellcode criptografada usando operações XOR e, por fim, injeta o código malicioso em processos confiáveis do Windows, como o mspaint.exe ou notepad.exe.

Essa abordagem fileless deixa rastros forenses mínimos, permitindo que o invasor evite tanto antivírus baseados em assinaturas quanto muitas soluções heurísticas.

Em um grande avanço técnico, o malware utiliza a esteganografia ao incorporar os módulos do RoKRAT dentro de arquivos JPEG distribuídos através de provedores de armazenamento em nuvem, como Dropbox e Yandex. Por exemplo, um arquivo chamado "Pai.jpg" contém dados de imagem válidos, mas uma análise cuidadosa revela um shellcode criptografado escondido junto ao conteúdo padrão da foto.

O malware extrai este recurso, e após uma série de etapas de decodificação XOR, revela e executa o RoKRAT, tudo isso enquanto contorna os sistemas de detecção convencionais baseados em arquivos.

O RoKRAT continua sua missão de exfiltrar documentos, capturas de tela e dados de sessão dos endpoints infectados, abusando de APIs de nuvem legítimas para a comunicação de Comando e Controle (C2). O uso de tokens de nuvem genuínos e contas registradas dificulta ainda mais a atribuição e frustra os defensores que procuram por padrões de tráfego suspeitos.

A agilidade técnica do APT37 é visível na sua capacidade de alternar os alvos de injeção (passando do mspaint.exe para o notepad.exe conforme o Windows evolui) e no cuidadoso disfarce de artefatos de desenvolvimento, como caminhos PDB e nomes de ferramentas (por exemplo, "InjectShellcode" e "Weapon").

Esta campanha ressalta a necessidade crescente de as equipes de segurança implementarem soluções avançadas de Detecção e Resposta de Endpoint (EDR) focadas no monitoramento comportamental, em vez de depender apenas de assinaturas ou regras estáticas.

Via - CSN