Atores de ameaças oportunistas usando cupons do Ramadã como isca para atingir clientes de lojas de varejo no Oriente Médio

‍Sumário executivo

Este relatório documenta a análise técnica completa de uma sofisticada campanha de malware em vários estágios que usa uma isca de desconto criada socialmente no Ramadã para comprometer os endpoints do Windows no Oriente Médio. O documento malicioso se disfarça como uma oferta promocional do AlCoupon (um conhecido site egípcio de agregação de cupons), atraindo alvos com códigos de desconto falsos para grandes redes de varejo, incluindo Hyper One, Carrefour, Saudi e Metro, além da promessa de ganhar uma cesta do Ramadã no valor de 2.000 EGP.

Ao abrir, uma macro VBA oculta silenciosamente descarta, compila e executa um carregador de C#. O carregador entra em contato com um C2 de entrega, busca um conjunto MSIL bruto, o compila no dispositivo e o executa via rundll32. A carga resultante é um Trojan de Acesso Remoto (RAT) completo operando sob o namespace Ftu4You. O RAT se comunica com um painel C2 dedicado por HTTPS e oferece suporte ao acesso remoto persistente ao shell, captura de tela em tela cheia, navegação remota pelo sistema de arquivos, transferência bidirecional de arquivos e gerenciamento de sessões, roteando toda a exfiltração de arquivos por meio de URLs pré-assinadas do AWS S3 para evitar a detecção da camada de rede.

Toda a exfiltração de arquivos (capturas de tela, documentos) é roteada por meio de URLs pré-assinadas do AWS S3, ignorando totalmente a inspeção de tráfego C2, a interceptação de HTTPS e o DLP baseado em domínio.

‍