Surgiu uma ameaça cibernética sofisticada visando sistemas Windows em vários países do Oriente Médio.
O UDPGangster, um backdoor baseado em UDP, representa uma nova arma perigosa no arsenal do grupo de ameaças MuddyWater, conhecido por conduzir operações de espionagem cibernética em todo o Oriente Médio e regiões vizinhas.
Esse malware dá aos invasores controle remoto completo sobre as máquinas comprometidas, permitindo-lhes executar comandos, roubar arquivos e implantar software malicioso adicional por meio de canais UDP projetados deliberadamente para escapar das medidas tradicionais de segurança de rede.
A ameaça parece cada vez mais ativa, com múltiplas campanhas de ataque identificadas visando utilizadores na Turquia, Israel e Azerbaijão.
Documento chamariz direcionado a Israel (Fonte – Fortinet)
Essas operações demonstram uma abordagem coordenada, usando documentos maliciosos do Microsoft Word incorporados com macros perigosas como método principal de entrega.
Quando as vítimas habilitam essas macros, o backdoor é instalado silenciosamente em seus sistemas, concedendo aos invasores acesso sem precedentes a informações confidenciais e infraestrutura crítica.
Os ataques empregam táticas sofisticadas de engenharia social, com e-mails de phishing que se fazem passar por entidades governamentais.
Correio de phishing (fonte – Fortinet)
Nomeadamente, uma campanha alegou ser do Ministério dos Negócios Estrangeiros da República Turca do Norte de Chipre, convidando os destinatários para um seminário online sobre as eleições presidenciais.
Os documentos falsos incluem informações de aparência inócua, projetadas para distrair os usuários enquanto códigos maliciosos são executados em segundo plano.
Os analistas de segurança da Fortinet identificaram e estudaram várias campanhas do UDPGangster, observando extensos recursos anti-análise incorporados ao malware.
Documento com script VBA (Fonte – Fortinet)
Essas amostras incorporam técnicas avançadas projetadas especificamente para detectar e evitar ambientes virtuais, sandboxes e ferramentas de análise de segurança, ajudando os invasores a evitar a detecção precoce por pesquisadores de segurança e sistemas automatizados.
Mecanismo de infecção e evasão anti-análise
A infecção começa quando as vítimas recebem e-mails de phishing contendo documentos do Microsoft Word com macros VBA incorporadas.
Ao abrir e habilitar as macros, o evento Document_Open() é acionado automaticamente, iniciando uma cadeia de eventos que instala o backdoor.
O processo técnico de infecção é simples, mas eficaz. A macro decodifica dados codificados em Base64 de um campo de formulário oculto e os grava em C:\Users\Public\ui.txt.
Configuração de persistência (Fonte – Fortinet)
O malware então executa esse arquivo usando funções da API do Windows, especificamente CreateProcessA, que inicia a carga útil do UDPGangster diretamente na memória do sistema.
O UDPGangster estabelece persistência copiando-se para %AppData%\RoamingLow como SystemProc.exe e, em seguida, modifica o registro do Windows adicionando o caminho do malware a HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders no valor de inicialização.
Isso garante que o backdoor seja executado automaticamente sempre que a vítima reiniciar o computador.
O malware incorpora nove técnicas distintas de anti-análise, incluindo detecção de depurador, verificações de ambiente de CPU para configurações de núcleo único comuns em máquinas virtuais, verificação de memória e tamanho de disco, análise de endereço MAC de adaptador virtual, inspeção de hardware por meio de consultas WMI, verificação de processo para ferramentas de virtualização, exame extensivo de registro, detecção de ferramenta de sandbox e verificação de nome de arquivo em ambientes de teste conhecidos.
Depois de ignorar a análise de segurança, o UDPGangster coleta detalhes do sistema, como nome do computador, informações de domínio e versão do sistema operacional, codifica-os usando transformação baseada em ROR e envia esses dados para servidores de comando e controle em 157.20.182.75 pela porta UDP 1269.
Ao mesmo tempo, eles fazem isso mantendo a comunicação que o monitoramento de rede padrão normalmente perde.
Siga-nos no Google News, LinkedIn e X para obter mais atualizações instantâneas, defina CSN como fonte preferencial no Google.
