Os operadores de ameaças por trás do ransomware CatB usam uma técnica chamada sequestro de ordem de pesquisa da biblioteca de vínculo dinâmico (DLL) para evitar a detecção e o descarte da carga útil.
CatB, também conhecido como CatB99 e Baxtoy, surgiu no final do ano passado e é considerado uma evolução direta ou rebranding de outra variante de ransomware conhecida como Pandora. O uso de Pandora foi atribuído ao grupo de hackers Bronze Starlight, também conhecido como DEV-0401 ou Emperor Dragonfly. Esse grupo de ameaças chinês usa famílias de ransomware de curta duração para ocultar suas verdadeiras intenções.
O CatB depende desse tipo de sequestro por meio de um serviço legítimo chamado Microsoft Distributed Transaction Coordinator (MSDTC) para extrair e iniciar a carga útil do ransomware. “Após a execução, as cargas CatB dependem do seqüestro de ordem de pesquisa de DLL para descartar e carregar a carga maliciosa”, disse Jim Walter, pesquisador da SentinelOne, em um relatório publicado na semana passada. “O conta-gotas [versions.dll] coloca a carga útil [oci.dll] no diretório System32.”
O conta-gotas também é responsável por realizar verificações de anti-análise para determinar se o malware está sendo executado em um ambiente virtual e, finalmente, explorar o serviço MSDTC para injetar o oci.dll malicioso que direciona o ransomware para o executável msdtc.exe na reinicialização do sistema.
“As configurações [MSDTC] alteradas são o nome da conta sob a qual o serviço deve ser executado, que é alterado de Serviço de Rede para Sistema Local, e a opção de início do serviço, que é alterada de Início por Demanda para Início Automático para Persistência se uma reinicialização ocorre”, explicou Natalie Zargarov, pesquisadora do Minerva Labs, em análise anterior ao The HackerNews.
Um aspecto marcante do ransomware é a ausência de uma nota de resgate. Em vez disso, cada arquivo criptografado é atualizado com uma mensagem solicitando às vítimas que façam um pagamento em Bitcoin. Além disso, o malware coleta informações confidenciais de navegadores da Web, como Google Chrome, Microsoft Edge — e Internet Explorer — e Mozilla Firefox, incluindo senhas, favoritos e histórico. Outra característica é a capacidade do malware de coletar dados confidenciais, como senhas, favoritos, histórico do navegador.
“CatB se junta a uma longa linhagem de famílias de ransomware que adotam técnicas seminovas e comportamentos incomuns, como anexar notas aos cabeçalhos dos arquivos”, disse Walter. “Esses comportamentos parecem ser implementados com o objetivo de evasão de detecção e algum nível de truque anti-análise”.
Esta não é a primeira vez que o serviço MSDTC é usado para fins mal-intencionados. Em maio de 2021, a Trustwave lançou um novo malware chamado Pingback, que usava a mesma técnica para ganhar persistência e contornar as soluções de segurança.
Fonte: CisoAdvisor, TheHackerNews
