Pesquisadores da renomada empresa de segurança cibernética Zscaler revelaram recentemente os detalhes de uma sofisticada campanha de espionagem digital, orquestrada pelo grupo APT37, também conhecido como ScarCruft. Este coletivo de hackers, com alegado financiamento estatal da Coreia do Norte, batizou a operação de Ruby Jumper, destacando-se por sua capacidade de infectar computadores e, de forma inédita, cruzar a barreira de segurança conhecida como 'air gap'. O 'air gap' descreve o isolamento físico de redes que organizações sensíveis – como instalações militares e industriais – adotam como medida de segurança máxima, tornando-as supostamente imunes a ataques cibernéticos baseados em rede.
Infiltração Inicial e a Técnica de Disfarce
A campanha Ruby Jumper inicia-se de forma enganosa, explorando a curiosidade ou o descuido da vítima. O ataque é deflagrado quando um usuário abre um arquivo com extensão .LNK, um formato comum para atalhos do Windows. Enquanto um documento de distração é exibido na tela, disfarçado como um artigo em árabe sobre o conflito Palestina-Israel – possivelmente visando alvos com interesse geopolítico específico – uma sequência de ações maliciosas é silenciosamente executada em segundo plano. Esse atalho fraudulento extrai e instala diretamente na memória do computador o primeiro elo da cadeia de malwares: o RESTLEAF, sem deixar rastros em disco.
Comunicação Clandestina via Nuvem Legítima
Uma vez ativo, o malware RESTLEAF estabelece sua comunicação com os servidores dos atacantes de maneira astuta, utilizando o Zoho WorkDrive. Este serviço de armazenamento em nuvem comercial e legítimo, similar a plataformas como o Google Drive, é empregado para que o tráfego malicioso se misture ao tráfego comum de usuários, dificultando sua detecção por ferramentas de segurança tradicionais. Segundo a Zscaler, é a primeira vez que o APT37 é flagrado abusando especificamente do Zoho WorkDrive para fins de comando e controle. Através desse canal, o RESTLEAF consegue baixar e executar código diretamente na memória do computador, uma técnica conhecida como 'shellcode', evitando a gravação de arquivos suspeitos no disco e, consequentemente, reduzindo ainda mais as chances de ser detectado por antivírus.
Preparação e Persistência: O Papel do SNAKEDROPPER
Após a fase inicial, o código baixado pelo RESTLEAF instala o segundo malware da cadeia, denominado SNAKEDROPPER. Sua principal função é preparar um ambiente robusto e persistente para os estágios subsequentes do ataque. Para isso, o SNAKEDROPPER instala um interpretador completo da linguagem de programação Ruby no sistema da vítima. A particularidade é que ele disfarça essa instalação legítima, renomeando seus arquivos para simular um utilitário de monitoramento de pen drives, como 'usbspeed.exe', camuflando sua verdadeira intenção. Dentro desse ambiente Ruby manipulado, o SNAKEDROPPER substitui um arquivo de configuração que seria automaticamente carregado pelo interpretador por uma versão maliciosa. Essa alteração garante que os próximos malwares sejam executados toda vez que o programa iniciar, solidificando a presença dos atacantes na máquina. Para completar a estratégia de persistência, ele cria uma tarefa agendada no sistema que ativa o interpretador a cada cinco minutos, assegurando que a infecção permaneça ativa e resiliente a reinicializações.
A Inovadora Travessia do Isolamento Físico: Pen Drives Como Pontes
O SNAKEDROPPER prossegue instalando dois módulos cruciais, o THUMBSBD e o VIRUSTASK, ambos meticulosamente projetados para a façanha de superar o 'air gap' – o isolamento total de computadores que nunca se conectam à internet. O THUMBSBD atua como um sentinela, monitorando a conexão de pen drives ao computador infectado. Ao detectar a inserção de um dispositivo USB, o malware cria uma pasta oculta que mimetiza a Lixeira do Windows e copia para dentro dela dados coletados do sistema. Ele também permanece em espera por possíveis comandos que possam ter sido fisicamente transferidos para o dispositivo. Quando esse pen drive, agora comprometido, é levado a um computador isolado e depois retorna ao ambiente infectado, ele carrega consigo informações extraídas do sistema isolado, estabelecendo um ciclo de comunicação inteiramente físico e indetectável por qualquer monitoramento de rede.
Complementando a ação do THUMBSBD, o VIRUSTASK tem a responsabilidade de transformar o próprio pen drive em um vetor de propagação. Ao identificar um dispositivo conectado, ele oculta os arquivos originais do usuário e os substitui por atalhos maliciosos com nomes idênticos. Dessa forma, quando a vítima insere o pen drive em outra máquina, inclusive em uma isolada, e tenta abrir um de seus próprios documentos, ela está, na verdade, executando o malware e facilitando a disseminação da campanha.
Arsenal de Espionagem: Vigilância de Áudio, Vídeo e Teclado
Na etapa final da cadeia de infecção, o THUMBSBD entrega o payload derradeiro da campanha: o FOOTWINE. Classificado como um spyware de alta capacidade, o FOOTWINE representa a culminação do esforço de espionagem do APT37. Este software malicioso é capaz de registrar tudo o que é digitado no teclado da vítima (keylogging), capturar imagens da tela do computador, e ativar remotamente o microfone e a câmera do dispositivo para vigilância de áudio e vídeo em tempo real. Toda a comunicação entre o FOOTWINE e os servidores dos atacantes é meticulosamente cifrada utilizando um protocolo proprietário, o que dificulta enormemente a interceptação e a análise por pesquisadores de segurança, garantindo a confidencialidade das informações exfiltradas.
A campanha Ruby Jumper exemplifica a crescente sofisticação de grupos patrocinados por estados, como o APT37, em sua busca por informações sensíveis. A utilização engenhosa de pen drives para transpor as barreiras de 'air gap' e a subsequente implantação de um arsenal de spyware demonstram uma ameaça persistente e altamente adaptável, exigindo vigilância redobrada e estratégias de defesa inovadoras por parte de organizações que lidam com dados e infraestruturas críticas.
Fonte: https://www.tecmundo.com.br
