Hack Alerta

Hackers usam instaladores falsos do cisco anyconnect e google update para implantar sharkloader

Hackers usam instaladores falsos do Cisco AnyConnect e Google Update para implantar o SharkLoader, que entrega Cobalt Strike Beacon e usa técnicas avançadas de evasão.

Cientistas de segurança descobriram um novo carregador de malware chamado SharkLoader que está se infiltrando silenciosamente em redes escondendo-se dentro de instaladores de software falsos. A ferramenta foi vista entregando o Cobalt Strike Beacon, um framework de pós-exploração bem conhecido, em máquinas comprometidas.

Campanha e vetores de ataque

Os atacantes, rastreados sob o nome de cluster StrikeShark, não estão dependendo de uma única maneira de entrar em uma rede. Eles exploram falhas conhecidas em software como Microsoft Exchange, SharePoint, appliances Fortinet e Cisco IOS XE, enquanto também distribuem droppers que fingem ser ferramentas como Cisco AnyConnect e Google Update.

Técnicas de evasão e persistência

O SharkLoader não para de entrar silenciosamente, ele também trabalha duro para se manter escondido depois. O malware hooka inúmeras chamadas de API do Windows e as redireciona para chamadas de sistema brutas geradas sob demanda, ajudando-o a escapar de ferramentas que observam comportamento suspeito. Para se manter, os operadores configuram tarefas agendadas que rodam a cada cinco minutos, chaves de execução de registro e tarefas agendadas adicionais executadas com privilégios de nível SYSTEM.

Impacto e alcance

Vítimas confirmadas abrangem órgãos governamentais, missões diplomáticas e empresas de software em Indonésia, Taiwan, Hong Kong, Líbano, Síria, Colômbia, Macedônia do Norte, Nepal e Sérvia. A concentração de ataques em redes governamentais e diplomáticas levanta questões sobre motivos de coleta de inteligência.

Recomendações de defesa

A PolySwarm recomenda que as organizações priorizem o patching de aplicativos voltados para a internet e appliances de rede rapidamente. As equipes de segurança também devem observar comportamento incomum de side loading de DLL e caçar sinais de execução em memória em vez de depender apenas de assinaturas estáticas.

Indicadores de comprometimento (IoCs)

Os indicadores incluem o hash SHA256 6a5f9bd0e4a0c385b98cc7b528be53a95ff9c4ccffa8c1f65448ab792a46186 para amostras de instaladores falsos. Arquivos como SystemSettings.exe e SystemSettings.dll foram identificados como parte da técnica de side loading de DLL.


Baseado em publicação original de Cyber Security News
Publicado pela Redação Hack Alerta com base em fontes externas citadas e monitoramento editorial do Hack Alerta. Para decisões técnicas, operacionais ou jurídicas, confirme sempre os detalhes na fonte original.