Carregador IDAT atinge alvos ucranianos na Finlândia

Entidades ucranianas situadas na Finlândia foram vítimas de uma campanha maliciosa que envolve a distribuição de um trojan comercial de acesso remoto conhecido como Remcos RAT. Esta campanha utiliza um carregador de malware chamado IDAT Loader. O responsável pela ameaça, identificado pela Equipe de Resposta a Emergências Informáticas da Ucrânia (CERT-UA) como UAC-0184, foi vinculado ao ataque.

O pesquisador da Morphisec, Michael Dereviashkin, em relatório compartilhado com o The Hacker News, destacou que o ataque, um componente do IDAT Loader, emprega a esteganografia como técnica. Embora as técnicas esteganográficas, comumente conhecidas como 'Stego', sejam familiares, compreender o seu papel na evasão da defesa é crucial para o desenvolvimento de defesas eficazes contra tais táticas.

IDAT Loader compartilha DNA com malware Hijack Loader

O IDAT Loader, que compartilha semelhanças com outra família de carregadores chamada Hijack Loader, tem sido empregado para entregar várias cargas úteis, incluindo DanaBot, SystemBC e RedLine Stealer nos últimos meses. Além disso, o carregador foi utilizado por um agente de ameaça conhecido como TA544 para disseminar Remcos RAT e SystemBC por meio de ataques de phishing.

A campanha de phishing, inicialmente divulgada pelo CERT-UA no início de janeiro de 2024, envolve a utilização de iscas com temática de guerra para iniciar uma cadeia de infeção. Em última análise, essa cadeia leva à implantação do IDAT Loader, que então utiliza um PNG esteganográfico incorporado para localizar e extrair o Remcos RAT.

Num desenvolvimento relacionado, o CERT-UA revelou que as forças de defesa do país foram alvo de ataques através da aplicação de mensagens instantâneas Signal. Os invasores distribuem um documento do Microsoft Excel armadilhado nesse cenário, executando o COOKBOX, um malware baseado em PowerShell capaz de carregar e executar cmdlets. Esta atividade foi atribuída a um cluster denominado UAC-0149.