LitterDrifter vinculado ao grupo russo de crimes cibernéticos

Atores russos de espionagem cibernética ligados ao Serviço Federal de Segurança (FSB) foram observados empregando um worm de propagação de USB chamado LitterDrifter em ataques direcionados a entidades ucranianas. A Check Point, que descreveu as táticas recentes do grupo conhecido como Gamaredon (também conhecido como Aqua Blizzard, Iron Tilden, Primitive Bear, Shuckworm e Winterflounder), caracterizou-os como conduzindo extensas campanhas seguidas por esforços direcionados de coleta de dados, provavelmente impulsionados por objetivos de espionagem.

O worm LitterDrifter abrange duas funcionalidades principais: propagação automática do malware por meio de unidades USB conectadas e comunicação com os servidores de comando e controle (C&C) do agente da ameaça. Suspeita-se que seja um avanço de um worm USB baseado em PowerShell divulgado pela Symantec em junho de 2023.

LitterDrifter em detalhes

Desenvolvido em VBS, o módulo espalhador é responsável por disseminar o worm como um arquivo oculto em uma unidade USB junto com um arquivo LNK chamariz com nomes aleatórios. O nome “LitterDrifter” é derivado do componente de orquestração inicial denominado “trash.dll”.

A abordagem distinta da Gamaredon para o C&C envolve o uso de domínios como espaços reservados para os endereços IP reais dos servidores C2 circulantes, conforme explicado pela Check Point. Além disso, o LitterDrifter pode se conectar a um servidor C&C obtido de um canal do Telegram, uma tática empregada consistentemente pelo agente da ameaça pelo menos desde o início do ano.

A empresa de segurança cibernética também observou indicações de potenciais infecções fora da Ucrânia, com base em submissões do VirusTotal dos Estados Unidos, Vietname, Chile, Polónia, Alemanha e Hong Kong.

O que é malware de worm?

Um worm é um tipo de software malicioso (malware) projetado para se replicar e se espalhar para outros computadores ou dispositivos de forma autônoma, muitas vezes sem a necessidade de intervenção humana. Ao contrário dos vírus, os worms não precisam se anexar a programas ou arquivos existentes para se espalharem; eles podem viajar de forma independente através de redes e sistemas.

As principais características do malware worm incluem:

• Autopropagação: Worms são programados para replicar e se espalhar de forma independente por dispositivos ou redes conectados. Eles podem explorar vulnerabilidades em sistemas operacionais ou aplicativos para infectar outros computadores.
• Autonomia: Worms operam sem envolvimento humano direto. Depois que um sistema é infectado, o worm pode procurar e infectar ativamente outros sistemas vulneráveis sem exigir ação do usuário.
• Propagação baseada em rede: Os worms geralmente se espalham por meio de conexões de rede, como a Internet, redes locais (LANs) ou mídias removíveis, como unidades USB. Eles podem explorar pontos fracos nos protocolos de rede para passar de um sistema para outro.
• Carga útil: além de se replicarem, os worms podem carregar uma carga útil, que é a atividade maliciosa real para a qual foram projetados. Isso pode incluir danificar ou excluir arquivos, roubar informações ou facilitar outras formas de ataques cibernéticos.
• Persistência: Alguns worms são projetados para permanecer ativos em sistemas infectados por um longo período, permitindo que continuem suas atividades maliciosas ou recebam instruções atualizadas de um servidor remoto de comando e controle.