Um downloader de malware não documentado anteriormente foi identificado em ataques de phishing para implantar roubo de credenciais e outras ações maliciosas.

Chamado de “Saint Bot”, o malware teria aparecido pela primeira vez em janeiro de 2021, com indicações de que estava em desenvolvimento.

“Saint Bot é um downloader que apareceu recentemente e está ganhando impulso lentamente. Ele emprega uma grande variedade de técnicas que, embora não sejam novas, indicam algum nível de sofisticação, considerando sua aparência relativamente nova.”

A cadeia de infecção analisada por especialistas de seegurança começa com um e-mail de phishing contendo um arquivo ZIP incorporado (“bitcoin.zip”) que afirma ser uma carteira bitcoin quando, na verdade, é um script PowerShell disfarçado de arquivo de atalho .LNK. Em seguida, esse script do PowerShell baixa o malware de estágio seguinte, um executável WindowsUpdate.exe, que, por sua vez, descarta um segundo executável (InstallUtil.exe) que faz o download de mais dois executáveis chamados def.exe e putty.exe.

Enquanto o primeiro é um script em lote responsável por desabilitar o Windows Defender, putty.exe contém a carga maliciosa que eventualmente se conecta a um servidor de comando e controle (C2) para explorar futuramente.

Aliada às técnicas de anti-análise adotadas pelo malware, permite que os operadores de malware explorem os dispositivos em que foram instalados sem chamar a atenção.

A lista de comandos suportados pelo malware inclui :

  • baixar e executar outras payloads recuperados do servidor C2
  • atualizar o malware do bot
  • desinstalando-se da máquina comprometida

Embora esses recursos possam parecer muito pequenos, o fato de Saint Bot servir como um downloader para outro malware o torna perigoso o suficiente.

Curiosamente, os próprios payloads são obtidos de arquivos hospedados no Discord, uma tática que se tornou cada vez mais comum entre os agentes de ameaças, que abusam de funções legítimas de tais plataformas para comunicações C2, evitam a segurança e distribuem malware.

“Quando os arquivos são carregados e armazenados no Discord CDN, eles podem ser acessados usando o URL do CDN codificado por qualquer sistema, independentemente de o Discord ter sido instalado, simplesmente navegando até o URL do CDN onde o conteúdo está hospedado”, especialistas revelam uma análise no início desta semana, transformando softwares como Discord e Slack em alvos lucrativos para hospedar conteúdo malicioso.

O autor parece ter algum conhecimento de design de malware, o que é visível pela ampla gama de técnicas utilizadas. No entanto, todas as técnicas implantadas são bem conhecidas e bastante padrão, não mostrando muita criatividade até agora.

Referências:

https://thehackernews.com/2021/04/alert-theres-new-malware-out-there.html