O WildPressure vem atacando o Windows há muito tempo, é por isso que esta não é a primeira vez que os sistemas operacionais Windows e macOS estão sendo atacados por tais cavalos de Tróia maliciosos.
No entanto, em 2019, a Kaspersky detectou um trojan malicioso chamado “Milum” que foi usado pelos agentes de ameaça do WildPressure.
Desde então, a Kaspersky rastreia o Trojan Milum e, recentemente, os agentes da ameaça usaram uma versão mais recente desse Trojan para atacar os sistemas operacionais Windows e macOS.
De acordo com o relatório , o WildPressure foi inicialmente observado em março de 2020 com base em uma operação de malware atribuindo um Trojan C ++ completo, “Milum”.
O Trojan geralmente permite que os agentes da ameaça obtenham o controle remoto dos dispositivos que foram comprometidos no ataque.
Por que é conhecido como Milum e é do seu interesse?
Durante uma investigação, os especialistas revelaram alguns detalhes importantes sobre o ataque. De acordo com a análise, a palavra 'milum' é aplicada nos nomes das classes C ++ que estão presentes dentro do malware, portanto, o trojan foi denominado Milum.
Além disso, outro ponto é que esse malware geralmente exporta muitas funções de concentração do Zlib, como zlibVersion (), inflate () ou deflate ().
Mesmo os pesquisadores também notaram que todas essas funções de concentração são necessárias para a comunicação C2, mas no caso de aplicativos autônomos, a exportação não exige.
Quem foi atacado e quem está por trás disso?
O trojan Milum atacou inicialmente o sistema operacional Windows e macOS, e tem atacado o sistema desde 2019. Após investigar o ataque, os especialistas observaram que a grande maioria dos IPs pertence ao Oriente Médio.
Não apenas isso, mas os especialistas também declararam que acreditam que os scanners de rede, os nós de saída do TOR ou as conexões VPN também pertenciam ao Oriente Médio.
No entanto, os analistas, ainda não confirmaram quem está por trás deste ataque, mas eles estão tentando o seu melhor para encontrar cada detalhe-chave.
Além disso, os pesquisadores também afirmaram que é muito difícil descobrir quem está por trás disso, já que os atores da ameaça usam um código C ++ muito comum.
Além disso, a análise também afirmou que os dados de configuração e o protocolo de comunicação que o malware utilizou no ataque são configurações formatadas em JSON com codificação base64.
E todos os dados que foram sequestrados foram armazenados na seção de recursos do binário e foram analisados com funções de Biblioteca de Modelos Padrão ( STL).
Enquanto a investigação avança, os especialistas estão descobrindo os principais detalhes, como o WildPressure também usou Python como linguagem de programação para seu malware neste ataque.
Então, é por isso que eles declararam que continuarão monitorando o malware de perto até e a menos que não obtenham todas as informações.
Indicadores de compromisso
Arquivos MD5
0C5B15D89FDA9BAF446B286C6F97F535
17B1A05FC367E52AADA7BDE07714666B
A76991F15D6B4F43FBA419ECA1A8E741
Os nomes dos arquivos originais são Milum46_Win32.exe; no lado do destino, eles existem como system32.exe
URLs
upiserversys1212 [.] Com / rl.php
37.59.87 [.] 172 / page / view.php
80.255.3 [.] 86 / page / view.php
