Grupo UAC-0247 utiliza ferramentas legítimas de segurança e compila comandos em tempo real para escapar da detecção em ataques a hospitais e governos locais
Foi identificado um novo malware chamado AgingFly, que está sendo usado em ataques direcionados a governos regionais, hospitais e possivelmente a representantes das Forças de Defesa da Ucrânia. O principal objetivo é obter credenciais armazenadas em navegadores baseados em Chromium e no WhatsApp para Windows.
Os ataques foram registrados no mês passado pela equipe de resposta a incidentes do país, o CERT-UA, que relacionou essa campanha ao grupo de ameaças UAC-0247.
Isca de ajuda humanitária inicia a cadeia de infecção
Os ataques começam com um e-mail se passando por uma oferta de ajuda humanitária, contendo um link que leva a vítima a um site legítimo comprometido por meio de uma vulnerabilidade de cross-site scripting (XSS).
A técnica usada é uma falha que permite a injeção de códigos maliciosos em páginas de terceiros. Existe também o método que leva a vítima a um site falso gerado por uma ferramenta de IA.
Cadeia de infecção revelada
A vítima recebe um arquivo compactado que contém um atalho LNK, o qual ativa um manipulador HTA embutido, conectando-se a um servidor remoto para baixar e executar outro arquivo HTA.
O HTA apresenta um formulário falso para distrair a vítima, enquanto cria uma tarefa agendada em segundo plano. Essa tarefa baixa e executa um arquivo EXE que injeta shellcode em um processo legítimo do sistema.
Os atacantes aplicam um carregador de duas etapas. A segunda usa um formato executável personalizado e a carga final é comprimida e criptografada. O CERT-UA observou que stagers, como um shell reverso TCP, podem ser utilizados para estabelecer conexões com o servidor de comando e controle.
Uso de ferramentas legítimas de segurança para roubo de dados
Durante investigações de vários incidentes, os especialistas notaram que o grupo faz uso da ferramenta de segurança de código aberto ChromElevator. Essa ferramenta permite extrair cookies, senhas salvas e outros dados confidenciais de navegadores como Chrome, Edge e Brave — sem a necessidade de privilégios de administrador.
No caso do WhatsApp, os hackers utilizam o ZAPiDESK, uma ferramenta forense de código aberto capaz de descriptografar os bancos de dados do aplicativo.
O grupo também realiza reconhecimento de rede e tenta se mover lateralmente utilizando utilitários públicos, como o scanner de portas RustScan e ferramentas de tunelamento como Ligolo-ng e Chisel.
Compilação de comandos em tempo real
O AgingFly é desenvolvido em C# e oferece aos operadores controle remoto, execução de comandos, exfiltração de arquivos, captura de telas e registro de teclas digitadas. A comunicação com o servidor C2 acontece via WebSockets, utilizando tráfego criptografado por AES-CBC com uma chave estática.
O diferencial do AgingFly em relação a malwares semelhantes é a ausência de manipuladores de comando embutidos. Em vez de ser pré-configurado com funcionalidades fixas, o malware recebe o código-fonte de comandos diretamente do servidor C2 e os compila dinamicamente no sistema da vítima.
Essa abordagem diminui o tamanho inicial do malware, facilita atualizações sob demanda e torna a detecção por análise estática mais difícil, uma vez que a análise é feita sem a execução do arquivo.
No entanto, isso também resulta em maior complexidade operacional e dependência de conectividade com o servidor, aumentando o consumo de memória e o risco de detecções comportamentais.
O CERT-UA recomenda que se bloqueiem arquivos com extensões LNK, HTA e JS como uma medida de segurança para interromper a cadeia de ataques.
Siga a TecMania nas redes sociais para mais atualizações sobre segurança e tecnologia, e não se esqueça de se inscrever em nossa newsletter e canal no YouTube.