Os agentes da ameaça estão abusando do Microsoft Build Engine (MSBuild) para fornecer trojans de acesso remoto e malware para roubo de senhas em sistemas Windows direcionados.

A campanha ativamente contínua parece ter surgido no mês passado, disseram pesquisadores da empresa de segurança cibernética Anomali na quinta-feira, acrescentando que os arquivos de compilação maliciosos vêm incorporados com executáveis codificados e código de shell que implementam backdoors, permitindo que os adversários controlem as máquinas das vítimas e roubem informação sensível.

MSBuild é uma ferramenta de construção de código aberto para .NET e Visual Studio desenvolvida pela Microsoft que permite compilar código-fonte, empacotar, testar e implantar aplicativos.

Ao usar o MSBuild para comprometer uma máquina sem arquivo, a ideia é ficar sob o radar e impedir a detecção, já que esse malware usa um aplicativo legítimo para carregar o código de ataque na memória, sem deixar traços de infecção no sistema e fornecer aos atacantes um alto nível de furtividade.

No momento, apenas dois fornecedores de segurança sinalizaram um dos arquivos MSBuild .proj (“vwnfmo.lnk”) como malicioso, enquanto uma segunda amostra (“72214c84e2.proj”) enviada ao VirusTotal em 18 de abril permanece não detectada por todos os anti-malware motor. A maioria das amostras analisadas pela Anomali foram encontradas para entregar o Remcos RAT, com alguns outros também entregando o Quasar RAT e RedLine Stealer.

Remcos (também conhecido como software de controle remoto e vigilância), uma vez instalado, concede acesso total ao adversário remoto, seus recursos vão desde a captura de pressionamentos de teclas até a execução de comandos arbitrários e gravação de microfones e webcams, enquanto o Quasar é um RAT de código aberto baseado em .NET capaz de keylogging, roubo de senhas, entre outros. Redline Stealer, como o nome indica, é um malware comum que coleta credenciais de navegadores, VPNs e clientes de mensagens, além de roubar senhas e carteiras associadas a aplicativos de criptomoeda.

“Os atores da ameaça por trás desta campanha usaram a entrega sem arquivo como uma forma de contornar as medidas de segurança, e essa técnica é usada pelos atores para uma variedade de objetivos e motivações”, disseram os especialistas de segurança. “Esta campanha destaca que a confiança apenas no software antivírus é insuficiente para a defesa cibernética, e o uso de código legítimo para ocultar o malware da tecnologia antivírus é eficaz e está crescendo exponencialmente.”

REFERÊNCIAS:

https://thehackernews.com/2021/05/hackers-using-microsoft-build-engine-to.html