Sumário Executivo
Desde setembro de 2024, pesquisadores de segurança identificaram um aumento significativo no uso do malware HijackLoader para a distribuição do Lumma Stealer. O diferencial dessa nova campanha é o uso de certificados de assinatura de código legítimos, porém roubados, o que permite ao malware passar despercebido por muitas soluções de segurança.
1. Introdução à Ameaça
Em outubro de 2024, uma nova tentativa de ataque foi detectada pelo HarfangLab EDR, que conseguiu bloquear a distribuição do HijackLoader. O diferencial dessa tentativa foi o uso de um certificado legítimo para assinar o malware, aumentando a dificuldade de detecção inicial.
Essa técnica de uso de certificados roubados tem se tornado uma tática eficaz para contornar as barreiras de segurança. Ao assinar os malwares com certificados válidos, os atacantes garantem que o software malicioso tenha menos chances de ser detectado por soluções de segurança que dependem de assinaturas digitais para verificar a legitimidade de um arquivo.
2. Método de Infecção
O HijackLoader é distribuído frequentemente em arquivos ZIP, que contêm um pacote de sideloading de DLL. Esse pacote inclui três componentes principais:
Um binário legítimo,
Uma DLL maliciosa carregada lateralmente,
Um arquivo de dados adicional (opcional).
Ao ser executada, a DLL descriptografa e executa um arquivo escondido, que baixa e executa o Lumma Stealer. Esse stealer tem como objetivo exfiltrar dados confidenciais das vítimas.
Uma mudança importante observada nas últimas campanhas é a transição do uso de pacotes de sideloading DLL para binários assinados. Essa técnica aumenta a sofisticação do ataque, tornando mais difícil a detecção pelas soluções de segurança.
A tática de assinar malwares com certificados legítimos permite que as amostras maliciosas, como o executável "zg.exe" (SHA-256: 1839b7152814b16b9f28326081f16bf9c5bbbb380005232c92d25c9a3e36e337), passem despercebidas por algumas ferramentas de segurança durante os primeiros dias após a distribuição.
3. Recomendações de Mitigação
Para mitigar os riscos associados a essa nova campanha de malware, as seguintes medidas são recomendadas:
Manter o Software Atualizado:
Garanta que o sistema operacional e todos os aplicativos, incluindo softwares de segurança, estejam sempre atualizados para corrigir vulnerabilidades conhecidas.
Usar Software Antimalware Confiável:
Instale e mantenha um software antimalware atualizado para detectar e remover ameaças, incluindo variantes do HijackLoader.
Educação e Treinamento:
Mantenha-se informado sobre as ameaças de malware mais recentes e eduque sua equipe para evitar e-mails de phishing e anexos suspeitos.
Implementar Políticas de Segurança:
Estabeleça políticas rigorosas, como o uso de autenticação multifator e senhas fortes para proteger contas e sistemas.
Monitoramento de Tráfego de Rede:
Utilize ferramentas para monitorar o tráfego de rede e detectar atividades suspeitas, permitindo uma resposta rápida a possíveis infecções.
Realizar Backups Regulares:
Faça backups frequentes dos dados mais importantes e armazene-os em locais seguros e isolados da rede principal.
Restrição de Privilégios de Usuário:
Limite os privilégios de administrador somente aos usuários que realmente necessitam, reduzindo o risco de infecções se espalharem na rede.
4. Indicadores de Comprometimento (IoC)
A análise realizada pela equipe Heimdall identificou diversos indicadores de comprometimento (IoCs) relacionados ao HijackLoader. Esses IoCs podem ser utilizados para identificar tentativas de infecção em sistemas afetados.
Exemplos de IoCs:
md5: 8016a4e5c3504a522981dcd9a749d221
sha1: 39ed360b7f145ade8bd1174cda38b6806004f925
sha256: 0d40a18d67005a5ade12b5593df3cf9e7ae996bebedacad64de81de3ffb9821a
Nome do arquivo: zg.exe
Esses indicadores podem ser usados para configurar sistemas de monitoramento e alertas, permitindo a identificação e mitigação de ataques antes que causem danos significativos.
5. Conclusão
A nova campanha do malware HijackLoader, com o uso de certificados de assinatura de código roubados, representa uma ameaça significativa para as organizações. Ao assinar seus malwares com certificados legítimos, os atacantes conseguem contornar as barreiras de segurança, aumentando a eficácia de seus ataques. Para enfrentar essa ameaça, é fundamental que as organizações implementem medidas de segurança robustas, incluindo a atualização constante de seus sistemas, o monitoramento ativo de redes e a educação de seus colaboradores sobre as novas táticas usadas por cibercriminosos.
Comments