Um cluster de atividade de ameaça não documentado anteriormente, apelidado de Earth Minotaur, alavanca ativamente o kit de exploração MOONSHINE e um backdoor Android-cum-Windows não relatado chamado DarkNimbus para realizar operações de vigilância de longo prazo visando tibetanos e uigures.
“O Earth Minotaur usa o MOONSHINE para entregar o backdoor DarkNimbus para dispositivos Android e Windows, visando o WeChat e possivelmente transformando-o em uma ameaça multiplataforma”, disseram os pesquisadores da Trend Micro Joseph C. Chen e Daniel Lunghi em uma análise publicada.
“MOONSHINE explora múltiplas vulnerabilidades conhecidas em navegadores e aplicativos baseados em Chromium, pedindo aos usuários que atualizem o software regularmente para bloquear ataques.”
Os ataques do Earth Minotaur afetam países como Austrália, Bélgica, Canadá, França, Alemanha, Índia, Itália, Japão, Nepal, Holanda, Noruega, Rússia, Espanha, Suíça, Taiwan, Turquia e os EUA.
MOONSHINE surgiu pela primeira vez em setembro de 2019 durante ataques cibernéticos contra a comunidade tibetana. O Citizen Lab atribuiu seu uso a um operador rastreado como POISON CARP, que se sobrepõe aos grupos de ameaças Earth Empusa e Evil Eye.
Como um kit de exploração baseado em Android, o MOONSHINE emprega ativamente vários exploits do navegador Chrome para implantar payloads projetados para extrair dados confidenciais de dispositivos comprometidos. Notavelmente, ele inclui código que tem como alvo vários aplicativos, como Google Chrome, Naver e aplicativos de mensagens instantâneas como LINE, QQ, WeChat e Zalo, que incorporam um navegador no aplicativo.
De acordo com a Trend Micro, o Earth Minotaur não mostra conexões diretas com o Earth Empusa. Ao mirar principalmente nas comunidades tibetana e uigur, o agente da ameaça emprega uma versão atualizada do MOONSHINE para infiltrar-se nos dispositivos das vítimas e infectá-los com DarkNimbus.
A nova variante MOONSHINE expande seu arsenal de exploração ao incluir CVE-2020-6418, uma vulnerabilidade de confusão de tipos no mecanismo JavaScript V8 que o Google corrigiu em fevereiro de 2020, depois de ter sido transformado em uma arma de dia zero.
O Earth Minotaur cria mensagens personalizadas para aplicativos de mensagens instantâneas para atrair vítimas a clicar em links maliciosos incorporados“, disseram os pesquisadores. “Eles personificam vários personagens em chats para aumentar a eficácia de seus ataques de engenharia social.”
Os links falsos direcionam as vítimas para um dos pelo menos 55 servidores do kit de exploração MOONSHINE, que lidam com a instalação do backdoor DarkNimbus nos dispositivos visados.
Para enganar as vítimas, essas URLs habilmente se apresentam como links benignos, muitas vezes disfarçados como anúncios relacionados à China ou vídeos online exibindo música e danças tibetanas ou uigures.
“Quando as vítimas clicam em um link de ataque e chegam ao servidor do kit de exploração, o servidor reage de acordo com suas configurações incorporadas”, disse a Trend Micro. “Após concluir o ataque, o servidor redireciona as vítimas para o link legítimo disfarçado para evitar que detectem qualquer atividade suspeita.”
Quando o navegador Tencent baseado em Chromium se mostra invulnerável a quaisquer explorações suportadas pelo MOONSHINE, o servidor do kit entrega uma página de phishing projetada para enganar usuários do WeChat. Ele os alerta que o navegador no aplicativo (uma versão personalizada do Android WebView chamado XWalk) está desatualizado e requer uma atualização por meio de um link de download fornecido.
Essa tática aciona um ataque de downgrade do mecanismo do navegador, permitindo que o agente da ameaça explore vulnerabilidades não corrigidas por meio da estrutura MOONSHINE.
Um ataque bem-sucedido implanta uma versão trojanizada do XWalk no dispositivo Android, substituindo sua contraparte legítima no aplicativo WeChat. Essa substituição facilita a execução do DarkNimbus.
Desenvolvido pela primeira vez em 2018 e atualizado ativamente desde então, o backdoor DarkNimbus usa o protocolo XMPP para se comunicar com um servidor controlado pelo invasor. Ele suporta uma ampla gama de comandos para exfiltrar dados valiosos, incluindo metadados do dispositivo, capturas de tela, favoritos do navegador, histórico de chamadas, contatos, mensagens SMS, geolocalização, arquivos, conteúdo da área de transferência e uma lista de aplicativos instalados.
O DarkNimbus também executa comandos de shell, grava chamadas telefônicas, tira fotos e explora as permissões de serviços de acessibilidade do Android para capturar mensagens de plataformas como DingTalk, MOMO, QQ, Skype, TalkBox, Voxer, WeChat e WhatsApp. Finalmente, ele pode se desinstalar do dispositivo infectado.
A Trend Micro identificou uma versão do DarkNimbus para Windows, provavelmente criada entre julho e outubro de 2019, mas implantada pela primeira vez mais de um ano depois, em dezembro de 2020.
Embora não tenha muitos recursos de sua contraparte Android, a variante do Windows inclui uma variedade de comandos para coletar informações do sistema, recuperar a lista de aplicativos instalados, capturar pressionamentos de tecla, acessar dados da área de transferência e extrair credenciais salvas e histórico de navegação. Ele também permite a leitura e o upload de conteúdo de arquivo.
Embora as origens do Earth Minotaur permaneçam obscuras, a diversidade de suas cadeias de infecção e a sofisticação de suas ferramentas de malware o confirmam como um agente de ameaça altamente capaz.
“MOONSHINE é um kit de ferramentas ainda em desenvolvimento e foi compartilhado com vários agentes de ameaças, incluindo Earth Minotaur, POISON CARP, UNC5221 e outros”, teorizou a Trend Micro.
Fonte: TheHackerNews
