Os atores de ameaças abusam do Internet Archive para hospedar o carregador de JScript furtivo

Um ator malicioso está usando recursos confiáveis ​​da Internet, como o Internet Archive, com mais frequência para disseminar componentes clandestinos de malware em um aumento preocupante em ameaças cibernéticas.

Essa tática explora a confiabilidade inerente a essas plataformas, permitindo que os invasores ignorassem os filtros de segurança tradicionais e entreguem cargas úteis sob o disfarce de conteúdo legítimo.

O último incidente destaca uma cadeia de entrega sofisticada que começa com um carregador JScript e culmina na implantação do Remcos Remote Acesso Trojan (RAT), demonstrando como os arquivos de acesso aberto podem ser armados para infecções persistentes.

Tendência emergente em cadeias de entrega de malware

O ataque inicia com um carregador JScript que executa um Script PowerShellque, por sua vez, recupera um arquivo de imagem PNG aparentemente inócuo hospedado no Internet Archive.

Esta imagem serve como um recipiente secreto para um carregador .NET ofuscado, codificado engenhosamente dentro dos valores de RGB de pixels individuais em um bitmap incorporado no PNG.

Após a extração, o componente PowerShell inicia o carregador .NET diretamente na memória, evitando mecanismos de detecção baseados em disco comumente empregados por soluções antivírus.

Essa execução na memória é uma marca registrada de ameaças persistentes avançadas, pois minimiza pegadas forenses e complica a análise estática.

Redução detalhada do processo de infecção

Uma vez ativo, o carregador .NET estabelece persistência no sistema comprometido modificando as chaves do registro, garantindo que o malware sobreviva a reinicializações e mantenha acesso a longo prazo.

Em seguida, passa a implantar a carga útil final: Rato Remcosuma ferramenta de acesso remoto versátil conhecido por seus recursos na exfiltração de dados, registro de tecla e execução de comando.

O REMCOS se comunica com sua infraestrutura de comando e controle (C2) por meio do provedor DNS DNS do Duck DNS, que facilita a resolução de domínio flexível e resiliente.

Essa escolha do DynDNS aprimora o potencial de evasão do ataque, pois permite rotações rápidas do servidor C2 para evitar a lista negra.

Pesquisadores de segurança da VMRAY analisaram essa cadeia por meio de monitoramento comportamental dinâmico, revelando indicadores -chave, como atividade anômala da rede e manipulações do registro.

Deles relatório Sublora as pesadas técnicas de ofuscação do carregador, incluindo criptografia de cordas e resolução dinâmica da API, que protegem ainda mais o malware dos esforços de engenharia reversa.

Esse abuso do arquivo da Internet exemplifica um padrão mais amplo, onde os atores de ameaças reaprogem os serviços legítimos, que vão do armazenamento em nuvem aos repositórios de código para estadiamento de malware.

Ao incorporar cargas úteis em arquivos multimídia como PNGs, os invasores exploram o baixo escrutínio aplicado a formatos não executáveis, tornando a detecção dependente de análises comportamentais avançadas em vez de varredura baseada em assinatura.

As implicações para as defesas de segurança cibernética são significativas. As organizações devem aprimorar o monitoramento para downloads incomuns de sites de arquivo e implementar controles mais rigorosos na execução do script, como restringir o PowerShell ao modo de linguagem restrito.

Além disso, a integração de feeds de inteligência de ameaças que rastreiam vetores de abuso emergentes podem ajudar na mitigação proativa.

À medida que as plataformas legítimas continuam sendo cooptadas, esse incidente serve como um lembrete do jogo em evolução do gato e rato entre atacantes e defensores, onde a confiança nos recursos on-line é cada vez mais um passivo.

Indicadores de compromisso (IOCs)

Encontre esta notícia interessante! Siga -nosGoogle NewsAssim,LinkedIneXPara obter atualizações instantâneas!