Home  >  Segurança

Hackers usam Slack para esconder comunicações de malware

Para evitar a detecção de rede e endpoint, um ataque de watering hole usou o Slack para comunicações de comando e controle

Da Redação

13/03/2019 às 10h08

Foto: Lucian Constantin | Correspondente Romênia | CSO

Um grupo de hackers está usando um programa backdoor anteriormente não documentado projetado para interagir com os invasores do Slack. Embora usar serviços legítimos para propósitos de comando e controle de malware não seja um novo acontecimento, esta é a primeira vez que pesquisadores viram o Slack, uma popular ferramenta de colaboração empresarial, sendo usado dessa maneira.

O backdoor foi detectado pela empresa de segurança Trend Micro em um ataque direcionado a partir do site comprometido de uma organização chamada Korean American National Coordinating Council, que publica artigos relacionados à política norte-coreana e sul-coreana. A técnica de infectar sites que são de interesse de um determinado grupo de indivíduos ou organizações é conhecida como um ataque “watering hole”.

Não está claro se as vítimas foram direcionadas ao site por meio de uma campanha por e-mail ou se os invasores apenas esperaram por visitantes regulares, mas o site foi modificado para hospedar uma exploração de vulnerabilidade de execução remota de código no mecanismo do Windows VBScript. Essa vulnerabilidade é rastreada como CVE-2018-8174 e pode ser explorada pelo Internet Explorer. No entanto, a falha foi corrigida pela Microsoft em maio de 2018, portanto, ter um sistema operacional atualizado teria evitado o ataque.

Nos casos em que a exploração foi bem-sucedida, ela acionou uma cadeia de infecção em vários estágios que envolveu primeiro o download e a execução de um arquivo DLL mal-intencionado por meio do PowerShell. Este primeiro payload verificou a presença de certos programas antivírus antes de decidir baixar ou instalar um novo programa backdoor que a Trend Micro apelidou de SLUB (por causa do Slack e o GitHub, que os invasores usam como repositório).

“Nossa investigação nos faz acreditar, com forte confiança, que foi parte de uma possível campanha de ataque direcionado”, disseram os pesquisadores da Trend Micro em seu relatório. “Até agora, não conseguimos encontrar ataques relacionados e não identificamos o backdoor personalizado em outro lugar. Temos procurado por amostras semelhantes e não encontramos nenhuma até agora, o que é uma forte indicação de que os invasores desenvolveram o malware ou receberam de um desenvolvedor privado que não vazou publicamente.”

O programa backdoor foi usado para coletar informações sobre as vítimas e suas atividades no Twitter, Skype, KakaoTalk e sistemas de quadro de avisos (BBS), mas seus recursos também incluíam a capacidade de listar e encerrar processos, executar comandos e arquivos maliciosos, fazer capturas de tela, listar e filtrar arquivos, ler e adicionar chaves de registro do sistema e coletar informações sobre unidades e volumes de armazenamento, incluindo se estão criptografados ou não.

O aspecto mais interessante do malware continua sendo o uso de serviços populares para se comunicar com os invasores. O backdoor se conecta a um repositório do GitHub para fazer download de comandos e, em seguida, se conecta a um espaço de trabalho privado do Slack configurado pelos invasores para postar a saída desses comandos, juntamente com o nome do computador do qual a saída foi coletada. Por fim, o malware carrega todos os arquivos roubados no serviço de armazenamento em nuvem file.io.

Invasores usam Slack e GitHub para evitar detecção

A razão pela qual os invasores usaram apenas serviços legítimos para comando e controle é provável porque queriam evitar a detecção em nível de rede e até mesmo em nível de ponto de extremidade do tráfego potencialmente suspeito. Dos serviços abusados, o Slack e o GitHub são comumente usados por empresas e outros tipos de organizações e, provavelmente, estão na lista de permissões de firewalls e gateways de segurança da Web. Além disso, esses serviços usam HTTPS ativado por padrão, o que significa que todos os dados enviados de volta (a eles) são criptografados.

Na ausência de soluções que possam descriptografar o tráfego no nível da rede, as organizações ficam cegas para o conteúdo das comunicações HTTPS, disseram os pesquisadores da Trend Micro por e-mail. “Esse é o protocolo que faz o seu trabalho. Embora isso seja bom para proteger, digamos, transações bancárias, em um cenário empresarial, isso pode apresentar problemas”.

O Slack foi notificado, e já desativou o espaço de trabalho configurado pelos invasores por violar os termos de serviço da empresa. No entanto, este provavelmente não será o último ataque em que os hackers decidem abusar do serviço do Slack. A empresa fornece APIs que podem ser facilmente usadas para integrar aplicativos externos ao seu serviço, e esses aplicativos também podem incluir programas de malware.