O grupo de hackers TheWizards lançou uma campanha usando uma vulnerabilidade no SLAAC, uma das funções do protocolo de rede IPv6, que é usado ativamente por invasores para hackear os recursos de certas organizações e interceptar atualizações de software. A campanha foi descoberta por especialistas da ESET.
Fonte da imagem: Glen Carrie / unsplash.com
Durante o ataque, os invasores usam a ferramenta de software Spellbinder, que envia mensagens falsas de Anúncio de Roteador (RA) aos recursos de seus alvos. Ao receber essa mensagem, o dispositivo de destino percebe o servidor controlado pelo hacker como um roteador e roteia todo o seu tráfego por meio dele. O ataque é baseado na manipulação do processo de Autoconfiguração de Endereços Sem Estado (SLAAC), daí o nome “spoofing de SLAAC”.
Após ganhar controle sobre o tráfego, os hackers TheWizards usam o Spellbinder para interceptar solicitações de dispositivos para domínios com atualizações de software e redirecioná-los. Como resultado, as vítimas recebem atualizações com trojans, em particular, com o backdoor WizardNet. Os invasores usam acesso remoto aos dispositivos alvo, comunicam-se com eles por meio de soquetes TCP ou UDP criptografados e usam SessionKey com base em identificadores do sistema para criptografia AES. O WizardNet carrega e executa módulos .NET na memória, recupera dados do sistema, lista processos em execução e mantém a presença.
A campanha está ativa desde pelo menos 2022, dizem especialistas da ESET; Os alvos são indivíduos e organizações principalmente na China, Hong Kong, Camboja, Emirados Árabes Unidos e Filipinas. Há uma versão em que o servidor com atualizações falsas continua funcionando no momento. O Spellbinder monitora solicitações para domínios Tencent, Baidu, Xunlei, Youku, iQIYI, Kingsoft, Mango TV, Funshion, Yuodao, Xiaomi, Xiaomi Miui, PPLive, Meitu, Quihoo 360 e Baofeng. A única maneira de se proteger contra o ataque é monitorar o tráfego IPv6 ou desabilitar o protocolo se não for claramente necessário, disse a ESET.