Malware Baseado em Python Infiltra-se em Sistemas Através do Legitimo VS Code

Um grupo chinês de Ameaça Persistente Avançada (APT), conhecido como Mustang Panda, é o provável responsável por uma sofisticada e contínua campanha de ciberespionagem. O ataque começa com um e-mail malicioso e, eventualmente, utiliza o Visual Studio Code (VS Code) para distribuir malware baseado em Python, permitindo aos atacantes acesso remoto não autorizado e persistente às máquinas infectadas.

Pesquisadores do Cyble Research and Intelligence Lab (CRIL) descobriram essa campanha, que espalha um arquivo .lnk disfarçado de instalador legítimo para baixar um pacote de distribuição de Python. Na realidade, esse pacote é usado para executar um script Python malicioso. O ataque se aproveita do VS Code, que, caso não esteja presente na máquina, é instalado pelo invasor por meio da linha de comando do VS Code (CLI), conforme explicado na análise publicada em 2 de outubro.

“O ator da ameaça (TA) utiliza uma ferramenta do [VS Code] para iniciar um túnel remoto e obter um código de ativação, que o TA pode usar para obter acesso remoto não autorizado à máquina da vítima”, de acordo com a publicação do blog sobre o ataque. “Isso permite que o TA interaja com o sistema, acesse arquivos e realize atividades maliciosas adicionais”, como a exfiltração de dados e a entrega de mais malware.

Embora a atribuição do ataque ainda não seja totalmente clara, os pesquisadores encontraram elementos em chinês e identificaram táticas, técnicas e procedimentos (TTPs) que apontam para o grupo chinês APT, amplamente conhecido como Mustang Panda. A Cyble o rastreia sob o nome Stately Taurus, mas também é conhecido por outros nomes, como Bronze President, Camaro Dragon, Earth Preta, Luminous Moth e Red Delta.

Objetivo: Acesso Não Autorizado

O ataque começa com a execução do arquivo .lnk, que exibe uma mensagem falsa de “instalação bem-sucedida” em chinês, enquanto, em segundo plano, baixa componentes adicionais, incluindo um pacote de distribuição Python. Este pacote eventualmente executa um script malicioso que verifica se o VS Code está instalado no sistema, buscando um diretório específico. Se não for encontrado, o script faz o download do VS Code CLI de uma fonte da Microsoft.

Esse script também cria uma tarefa para garantir a persistência de suas atividades maliciosas, que incluem a criação de um túnel remoto para permitir o acesso dos atacantes à máquina infectada. Durante esse processo, os atacantes utilizam o VS Code Remote-Tunnels, uma extensão usada para conectar-se a uma máquina remota, como um PC ou uma máquina virtual (VM), via um túnel seguro. “Isso permite que os usuários acessem remotamente a máquina a partir de qualquer cliente do [VS Code] sem a necessidade de SSH”, segundo o post.

Estratégia de Ataque e Exfiltração de Dados

Os invasores também utilizam o repositório de desenvolvedores GitHub de forma estratégica para acessar arquivos na máquina infectada. O script configura o túnel remoto e o associa automaticamente a uma conta do GitHub para autenticação, extraindo um código de ativação que permitirá mais atividades maliciosas no decorrer do ataque.

O malware também coleta uma lista de processos em execução na máquina da vítima e os envia diretamente para o servidor de comando e controle (C2), além de capturar informações sensíveis, como as configurações de idioma do sistema, localização geográfica, nome do computador, nome de usuário, domínio do usuário e detalhes sobre os privilégios do usuário. Ele também lista os nomes das pastas de vários diretórios.

Após receberem os dados exfiltrados, os atacantes podem acessar remotamente o dispositivo utilizando uma conta do GitHub. “Aqui, o TA pode inserir o código de ativação alfanumérico exfiltrado para obter acesso não autorizado à máquina da vítima”, de acordo com a Cyble.

“Esse nível de acesso não apenas permite que os invasores naveguem pelos arquivos das vítimas, mas também executem comandos no terminal”, conforme explicado no post. “Com esse controle, o TA pode realizar várias ações, como instalar malware, extrair informações sensíveis ou alterar configurações do sistema, potencialmente levando a uma exploração ainda maior do sistema e dos dados da vítima.”

Defesa Contra APTs Exige Vigilância Cibernética

Na época em que a Cyble publicou a pesquisa, o script Python malicioso implantado no ataque não tinha nenhuma detecção no VirusTotal, tornando difícil para as ferramentas de segurança padrão detectá-lo, observaram os pesquisadores.

Para mitigar esses ataques sofisticados de APTs como o Mustang Panda, a Cyble recomenda que as organizações utilizem soluções avançadas de proteção de endpoints, com análise comportamental e capacidades de aprendizado de máquina, para detectar e bloquear atividades suspeitas, mesmo que envolvam aplicativos legítimos, como o VS Code. Defensores também devem revisar regularmente as tarefas agendadas em todos os sistemas para identificar entradas não autorizadas ou incomuns, o que pode ajudar a detectar mecanismos de persistência estabelecidos por atores de ameaças.

Outras medidas incluem a realização de treinamentos para educar os usuários sobre os riscos de abrir arquivos ou links suspeitos, especialmente aqueles relacionados a arquivos .lnk e fontes desconhecidas. As organizações também devem, como regra geral, limitar as permissões dos usuários para a instalação de softwares, particularmente ferramentas que podem ser exploradas, como o VS Code, além de usar a lista de permissões de aplicativos para controlar quais programas podem ser instalados e executados nos sistemas.