Pesquisadores alertam sobre campanha de spam direcionada a vítimas com malware SVCReady
Uma nova onda de campanhas de phishing foi observada espalhando um malware previamente documentado chamado SVCReady .
“O malware é notável pela maneira incomum como é entregue aos PCs alvo usando shellcode oculto nas propriedades dos documentos do Microsoft Office”, informou Patrick Schläpfer, analista de ameaças da HP, em um artigo técnico.
Diz-se que o SVCReady está em seu estágio inicial de desenvolvimento, com os autores atualizando iterativamente o malware várias vezes no mês passado. Os primeiros sinais de atividade datam de 22 de abril de 2022.
As cadeias de infecção envolvem o envio de anexos de documentos do Microsoft Word para alvos por e-mail que contêm macros VBA para ativar a implantação de cargas maliciosas.
Mas onde essa campanha se destaca é que, em vez de empregar o PowerShell ou MSHTA para recuperar executáveis do próximo estágio de um servidor remoto, a macro executa o shellcode armazenado nas propriedades do documento , que posteriormente descarta o malware SVCReady.
Além de conseguir persistência no host infectado por meio de uma tarefa agendada, o malware vem com a capacidade de coletar informações do sistema, capturas de tela, executar comandos do shell, além de baixar e executar arquivos arbitrários.
Isso também incluiu a entrega do RedLine Stealer como uma carga útil de acompanhamento em uma instância em 26 de abril, depois que as máquinas foram inicialmente comprometidas com o SVCReady.
A HP disse que identificou sobreposições entre os nomes dos arquivos dos documentos de atração e as imagens contidas nos arquivos usados para distribuir o SVCReady e aqueles empregados por outro grupo chamado TA551 (também conhecido como Hive0106 ou Shathak ), mas não está imediatamente claro se o mesmo agente da ameaça é por trás da última campanha.
“É possível que estejamos vendo os artefatos deixados por dois invasores diferentes que estão usando as mesmas ferramentas”, observou Schläpfer. “No entanto, nossas descobertas mostram que modelos semelhantes e criadores de documentos potencialmente estão sendo usados pelos atores por trás das campanhas TA551 e SVCReady”.
Este artigo é uma tradução de: https://thehackernews.com/2022/06/researchers-warn-of-spam-campaign.html (Autor: )
