Hackers usam arquivos MSC da Microsoft para instalar backdoor ofuscado em ataques no Paquistão

Uma nova campanha de phishing foi identificada utilizando temas fiscais como isca para entregar um backdoor furtivo, em ataques direcionados ao Paquistão.

A empresa de cibersegurança Securonix, que acompanha essa atividade sob o nome FLUX#CONSOLE, acredita que o ataque começa com um link de e-mail phishing ou anexo. No entanto, o e-mail original utilizado não pôde ser obtido.

“Um dos aspectos mais notáveis da campanha é como os invasores utilizam arquivos MSC (Microsoft Common Console Document) para implantar um carregador e um dropper de dupla função, entregando cargas maliciosas adicionais”, explicaram os pesquisadores Den Iuzvyk e Tim Peck.

O uso malicioso de arquivos MSC especialmente criados para executar código foi apelidado de GrimResource pelo Elastic Security Labs.

O ponto inicial do ataque é um arquivo com dupla extensão (por exemplo, .pdf.msc), que se disfarça como um arquivo PDF (caso a exibição de extensões de arquivos esteja desativada). Quando aberto no Microsoft Management Console (MMC), ele executa um código JavaScript embutido.

Esse código é responsável por recuperar e exibir um arquivo de isca, enquanto, de forma oculta, carrega um arquivo DLL malicioso (DismCore.dll). Um dos documentos usados na campanha foi nomeado “Reduções de Impostos, Reembolsos e Créditos 2024”, que é um documento legítimo associado ao Federal Board of Revenue (FBR) do Paquistão.

Além disso, o arquivo .MSC executa códigos adicionais ao se conectar a um arquivo HTML remoto, reforçando a entrega da carga maliciosa. Segundo os pesquisadores, a persistência do malware é garantida através de tarefas agendadas no sistema infectado.

A carga principal é um backdoor capaz de estabelecer comunicação com um servidor remoto, executar comandos e exfiltrar dados dos sistemas comprometidos. A Securonix informou que o ataque foi interrompido 24 horas após a infecção inicial.

Ainda não está claro quem está por trás dessa campanha de malware, embora o grupo Patchwork já tenha utilizado documentos fiscais semelhantes do FBR em dezembro de 2023.

“Desde o JavaScript altamente ofuscado nos estágios iniciais até o código malicioso profundamente escondido no DLL, a cadeia de ataque exemplifica as complexidades na detecção e análise de códigos maliciosos modernos”, disseram os pesquisadores.

Outro aspecto importante da campanha é a exploração de arquivos MSC, que representa uma evolução dos arquivos LNK clássicos, populares entre os invasores nos últimos anos. Assim como os LNK, os MSC permitem a execução de códigos maliciosos disfarçados em fluxos de trabalho administrativos legítimos do Windows.

Via - THN