Un nou malware ce exploatează Outlook ca un canal de comunicare prin Microsoft Graph API

A fost descoperită o nouă gamă de programe malware care utilizează Microsoft Outlook drept canal de comunicare prin intermediul Microsoft Graph API.

Acest malware sofisticat include un loader personalizat și un backdoor, cunoscute sub numele de PATHLOADER și, respectiv, FINALDRAFT.

PATHLOADER: este un executabil Windows simplu care descarcă și execută coduri shell criptate din infrastructuri externe.

Acesta utilizează API hashing folosind funcția hash Fowler-Noll-Vo pentru a evita analiza statică. Configurația este încorporată în secțiunea .data și include setările C2.

Specialiștii au identificat, de asemenea, faptul că PATHLOADER utilizează criptarea șirurilor de caractere pentru a-și ascunde funcționalitatea, făcând dificilă pentru analiști urmărirea fluxului său de control.

FINALDRAFT: este un malware pe 64 de biți scris în C++ care se concentrează pe exfiltrarea de date și injectarea de procese.

Acesta utilizează Microsoft Graph API pentru a comunica cu serverul său de comandă și control (C2). Programul malware obține un jeton Microsoft Graph API utilizând un jeton de reîmprospătare stocat în configurația sa.

FINALDRAFT creează drafturi de e-mail de sesiune în Outlook pentru a comunica cu serverul C2. Conținutul acestor mesaje electronice este codificat Base64, dar nu este criptat AES. Comenzile sunt prelucrate, iar răspunsurile sunt scrise în noi proiecte de e-mail.

FINALDRAFT înregistrează 37 de operatori de comenzi, concentrându-se pe injectarea proceselor, manipularea fișierelor și capacitățile proxy de rețea. Printre comenzile cheie se numără:

• GatherComputerInformation: colectează și trimite informații despre host-ul victimă;
• StartTcpServerProxyToC2: pornește un server proxy TCP către serverul C2.
• DoProcessInjectionSendOutputEx: injectează în procesele în curs de execuție și trimite rezultatul.

Utilizarea Microsoft Graph API pentru comunicațiile C2 arată nevoia critică de măsuri de securitate îmbunătățite pentru a asigura protecția împotriva unor astfel de amenințări sofisticate.

Implementarea de soluții avansate de securitate a endpoint-urilor poate ajuta la detectarea și prevenirea executării de programe malware, în timp ce efectuarea de verificări periodice de securitate asigură identificarea și abordarea potențialelor vulnerabilități.

Sursă: https://cybersecuritynews.com/new-malware-exploiting-outlook-as-a-communication-channel/