Nova variante do Malware MidgeDropper é Revelada
O MidgeDropper, uma variante de dropper que não havia sido vista anteriormente, apresenta uma cadeia de infecção complexa, que inclui ofuscação de código e sideloading. O vetor de infecção inicial não estava disponível para os pesquisadores durante a investigação.
No entanto, suspeita-se fortemente que tenha sido um e-mail de phishing, pois havia um arquivo RAR que provavelmente seria o anexo de um e-mail. Dentro deste arquivo, havia dois arquivos: um PDF que atuava como um chamariz e um arquivo executável.
O executável, de tamanho considerável, funcionava principalmente como um dropper para as etapas subsequentes de infecção. O executável solta vários arquivos e também se conecta a um endereço específico para baixar o arquivo “seAgnt.exe”. Este arquivo é uma cópia renomeada de um aplicativo publicado pela Microsoft.
Embora seja benigno por si só, ele depende de “VCRUNTIME140_1.dll”. Esta dependência permite que o código malicioso dentro da DLL seja executado. A técnica utilizada é chamada de sideloading, onde uma dependência de um aplicativo legítimo é sequestrada para permitir que o código malicioso seja carregado.
Fonte: BoletimSec
Publicado em: Cybersegurança