MeowMeow Porta dos Fundos
Pesquisadores de cibersegurança descobriram uma família de malware até então desconhecida, chamada MeowMeow, utilizada em uma campanha cibernética contra organizações ucranianas. A operação demonstra uma cadeia de infecção estruturada e o uso de técnicas de engano em camadas para comprometer sistemas e manter a persistência.
Com base em múltiplos indicadores, a campanha foi atribuída, com um grau moderado de confiança, ao grupo de ameaças cibernéticas APT28, patrocinado pelo Estado russo. Essa avaliação se baseia nos padrões de direcionamento da campanha, nos temas geopolíticos presentes nas iscas e nas semelhanças técnicas com operações cibernéticas russas anteriores.
Índice
Ponto de entrada de phishing e mecanismo de rastreamento inicial
A sequência de ataque começa com um e-mail de phishing cuidadosamente elaborado para parecer credível. A mensagem é enviada de um endereço associado ao ukr.net, uma tática provavelmente destinada a aumentar a confiança entre os destinatários ucranianos.
O e-mail contém um link que supostamente leva a um arquivo ZIP. Quando a vítima clica no link, o navegador não baixa o arquivo imediatamente. Em vez disso, carrega uma imagem extremamente pequena que funciona como um pixel de rastreamento, sinalizando aos atacantes que o link foi aberto. Após essa confirmação, a vítima é redirecionada para outro URL onde o arquivo ZIP malicioso é finalmente baixado.
Engano por meio de um documento governamental falso
Após a extração do arquivo, a cadeia de infecção inicia um arquivo de Aplicativo HTML (HTA). O HTA executa duas ações simultaneamente:
- Exibe um documento de isca escrito em ucraniano relacionado a apelos para travessia de fronteiras.
- Inicia processos maliciosos adicionais em segundo plano.
O documento funciona como um mecanismo de engenharia social ao apresentar o que parece ser uma confirmação de recebimento de uma solicitação governamental referente aos procedimentos de travessia de fronteira. Essa narrativa cuidadosamente elaborada reforça a ilusão de legitimidade enquanto a atividade maliciosa continua oculta.
Evasão de Sandbox e Validação de Sistema
Antes de prosseguir com o processo de infecção, o malware realiza verificações para determinar se está sendo executado em um ambiente de análise controlado.
O HTA consulta a chave do Registro do Windows HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\InstallDate para estimar há quanto tempo o sistema operacional está instalado. Se o sistema tiver menos de dez dias, uma característica comum em ambientes de sandbox, o malware encerra sua execução. Essa etapa ajuda os atacantes a evitar a detecção por sistemas automatizados de análise de malware.
Mecanismos de Implantação e Persistência de Carga Útil
Se o sistema passar nas verificações de ambiente, o malware procede à extração de componentes adicionais do arquivo ZIP baixado. Dois arquivos são obtidos: um arquivo VBScript e uma imagem PNG contendo código oculto. Esses arquivos são gravados no disco com novos nomes.
A persistência é alcançada através da criação de uma tarefa agendada que executa automaticamente o VBScript. O objetivo principal do script é extrair o código malicioso oculto no arquivo PNG. Essa carga útil embutida é um carregador .NET ofuscado conhecido como BadPaw, que então inicia a comunicação com um servidor remoto de comando e controle.
Carregador BadPaw e a porta dos fundos MeowMeow
O carregador BadPaw serve como componente intermediário responsável por baixar módulos de malware adicionais. Seu principal objetivo é obter e implantar um executável backdoor chamado MeowMeow.
O aplicativo MeowMeow inclui um recurso de distração incomum em sua interface gráfica. Ao clicar no botão visível "MeowMeow", o programa simplesmente exibe a mensagem "Meow Meow Meow", sem executar nenhuma atividade maliciosa. Esse comportamento funciona como uma isca secundária destinada a enganar os analistas durante a inspeção manual.
A funcionalidade maliciosa propriamente dita é acionada apenas sob condições específicas. O executável deve ser iniciado com um parâmetro específico (-v) fornecido durante a cadeia de infecção e deve confirmar que está sendo executado em um endpoint real, e não em um ambiente de análise.
Proteções contra análises e capacidades operacionais
Antes de ativar suas funcionalidades de backdoor, o malware verifica se ferramentas de monitoramento de segurança ou forense estão em execução. A execução é interrompida caso aplicativos como Wireshark, Procmon, OllyDbg ou Fiddler sejam detectados, o que dificulta ainda mais a análise.
Uma vez ativado, o backdoor MeowMeow fornece aos atacantes diversas funcionalidades:
- Execução remota de comandos do PowerShell no host comprometido.
- Manipulação do sistema de arquivos, incluindo leitura, gravação e exclusão de arquivos.
Essas funções permitem que os atacantes realizem operações subsequentes, como coleta de dados, movimentação lateral ou implantação de cargas adicionais.
Artefatos em língua russa no código do malware
Durante a investigação, os pesquisadores descobriram sequências de caracteres em russo incorporadas no código-fonte do malware, reforçando a atribuição a um agente de ameaça de língua russa.
A presença desses artefatos pode indicar uma de duas possibilidades. Os atacantes podem ter cometido uma falha de segurança operacional ao não localizarem o código para o ambiente ucraniano. Alternativamente, as strings podem representar artefatos de desenvolvimento deixados involuntariamente durante o processo de criação do malware.
Independentemente da causa, esses indicadores linguísticos contribuem para uma avaliação de atribuição mais ampla, que vincula a campanha às operações cibernéticas russas.
