CR4T Malware

As instituições governamentais em todo o Médio Oriente tornaram-se alvos de uma operação de ataque furtivo que visa infiltrar os seus sistemas com uma backdoor até então desconhecida conhecida como CR4T. Os especialistas em segurança cibernética notaram esta atividade pela primeira vez em fevereiro de 2024, mas as evidências sugerem que ela poderia ter começado um ano antes. A operação está sendo rastreada como DuneQuixote. Os perpetradores não mediram esforços para impedir a detecção e análise dos seus implantes maliciosos, empregando técnicas sofisticadas de evasão tanto nas comunicações de rede como na concepção do próprio malware.

O Estágio Inicial da Cadeia de Ataque DuneQuixote

O ataque começa com um dropper, disponível em duas variações: um dropper padrão, em formato executável ou DLL, e um arquivo de instalação manipulado para a ferramenta legítima, Total Commander. Independentemente da variante, o objetivo principal do conta-gotas permanece consistente: extrair um endereço de comando e controle (C2) criptografado, utilizando uma técnica inovadora de descriptografia para proteger o endereço do servidor de ferramentas automatizadas de análise de malware.

Este método envolve adquirir o nome do arquivo do conta-gotas e concatená-lo com um dos vários trechos predefinidos de poemas espanhóis incorporados ao código do conta-gotas. Posteriormente, o malware calcula o hash MD5 da string combinada, que serve como chave de descriptografia para o endereço do servidor C2.

Uma vez descriptografado, o dropper estabelece conexões com o servidor C2, procedendo ao download de uma carga útil subsequente enquanto fornece um ID codificado como a string User-Agent na solicitação HTTP.

O acesso à carga útil é restrito, a menos que o agente de usuário correto seja fornecido. Além disso, parece que a carga só pode ser recuperada uma vez por alvo ou por um tempo limitado após a implantação de uma amostra de malware em estado selvagem.

Em contraste, o instalador trojanizado do Total Commander exibe diversas variações, mantendo a funcionalidade central do conta-gotas original. Elimina as sequências de poemas espanhóis e introduz medidas anti-análise adicionais. Essas verificações impedem uma conexão com o servidor C2 se o sistema detectar um depurador ou ferramenta de monitoramento, se o cursor permanecer parado além de um período especificado, se a RAM disponível for inferior a 8 GB ou se a capacidade do disco cair abaixo de 40 GB.

O CR4T Malware  Permite que Invasores Executem Comandos nos Sistemas Infectados

O CR4T ('CR4T.pdb') é um implante somente de memória escrito em C/C++. Ele fornece aos invasores acesso a um console de linha de comando para executar comandos no sistema comprometido, realizar operações de arquivos e transferir arquivos de e para o servidor C2. Além disso, os pesquisadores descobriram uma versão Golang do CR4T com funcionalidades semelhantes, incluindo a execução de comandos arbitrários e a criação de tarefas agendadas usando a biblioteca Go-ole.

Além disso, o backdoor Golang CR4T implementa persistência por meio do sequestro de objetos COM e utiliza a API Telegram para comunicações C2. O surgimento da variante Golang indica que os atores de ameaças não identificados por trás da campanha DuneQuixote estão refinando ativamente suas táticas com malware multiplataforma.

A iniciativa ‘DuneQuixote’ centra-se em entidades do Médio Oriente, empregando uma gama diversificada de ferramentas destinadas à furtividade e à persistência. Os invasores apresentam capacidades e técnicas avançadas de evasão, implantando implantes e conta-gotas somente de memória disfarçados de software legítimo, como imitando o instalador do Total Commander.