O malware tem sido um jogo de gato e rato entre hackers e pesquisadores de segurança desde o surgimento dos primeiros vírus de computador. Hoje, a maior parte do malware é conhecida, pelo menos em termos de tipo e método de entrega. No entanto, os bandidos ocasionalmente inventam novos truques para esconder seus rastros.

A empresa de análise de segurança Mandiant descobriu recentemente uma cadeia de ataque “nunca antes vista” que usa codificação Base64 em pelo menos dois sites diferentes para entregar a carga útil de segundo estágio de um malware de três estágios. Os dois sites são o site de tecnologia ArsTechnica e o site de hospedagem de vídeos Vimeo.

Um usuário postou uma foto de pizza no fórum da ArsTechnica com a legenda “Eu adoro pizza”. Não há nada de errado com as imagens ou o texto em si. No entanto, esta foto é hospedada por um site de terceiros e seu URL contém uma string Base64. Base64 convertido para ASCII parece caracteres aleatórios, mas neste caso ofusca as instruções binárias para baixar e instalar o segundo estágio do pacote de malware. Em outro caso, uma sequência idêntica apareceu na descrição de um vídeo inócuo no Vimeo.

Um porta-voz da ArsTechnica disse que a ArsTechnica excluiu a conta, que foi criada em novembro passado, depois que um usuário anônimo relatou o estranho link para a imagem (abaixo) do site.

A Mandiant disse que identificou o código como pertencente a um agente de ameaça conhecido como UNC4990, que vem rastreando desde 2020. Para a maioria dos usuários, essas instruções não terão efeito. Ele só pode ser executado em dispositivos que já contenham o malware de primeiro estágio (explorer.ps1). O primeiro estágio da propagação do UNC4990 ocorre por meio de unidades flash infectadas que são configuradas para vincular a arquivos hospedados no GitHub e no GitLab.

A segunda etapa é chamada de “espaço vazio” e é um arquivo de texto que aparece em branco em navegadores e editores de texto. No entanto, abra-o com um editor hexadecimal e você verá um arquivo binário que usa esquemas de codificação inteligentes como espaços, tabulações e novas linhas para criar código binário executável. Mandiant admite que nunca viu essa tecnologia antes.

O pesquisador da Mandiant, Yash Gupta, disse: "Esta é uma forma diferente e nova de abuso que estamos vendo, e é difícil de detectar. Não é algo que normalmente vemos em malware. Isso é muito interessante para nós e algo que queremos apontar."

Após a execução, o Emptyspace pesquisará continuamente o servidor de comando e controle e baixará um backdoor chamado "Quietboard" de acordo com o comando. O UNC4990 explora esse backdoor para instalar mineradores de criptomoedas em máquinas infectadas. No entanto, a Mandiant disse que rastreou apenas uma instância do Quietboard sendo instalada.

Dada a raridade do Quietboard, a ameaça representada pelos ataques do UNC4990 é mínima. No entanto, explorer.ps1 e Emptyspace podem ter taxas de infecção mais altas, deixando os usuários vulneráveis. Mandiant explica como detectar a infecção em seu blog.