Pesquisadores da Palo Alto Networks Unit 42 identificaram uma campanha atribuída ao cluster CL-STA-1009, supostamente vinculado a um Estado-nação, que distribui o Airstalk, um malware inédito projetado para comunicação clandestina por meio da API do AirWatch (atual Workspace ONE Unified Endpoint Management).
Como o Airstalk opera
O código malicioso, desenvolvido em versões PowerShell e .NET, explora a funcionalidade de gerenciamento de atributos personalizados e upload de arquivos da API do AirWatch para criar um canal de comando e controle (C2) encoberto. O backdoor inicia contato com a mensagem “CONNECT”, aguarda o retorno “CONNECTED” e, em seguida, recebe tarefas classificadas como “ACTIONS”. A resposta às instruções é enviada por meio de mensagens “RESULT”.
Entre as sete ações suportadas pelo script em PowerShell estão:
- Captura de tela;
- Extração de cookies do Google Chrome;
- Listagem de perfis do navegador;
- Coleta de favoritos e histórico;
- Enumeração de arquivos no diretório do usuário;
- Autodesinstalação.
Para transmitir grandes volumes de dados, o malware recorre ao recurso de blobs da API MDM, armazenando os arquivos no servidor de gerenciamento.
Recursos adicionais na variante .NET
A versão .NET agrega funções mais avançadas, incluindo o monitoramento do Microsoft Edge e do Island, navegador voltado ao mercado corporativo. Ela simula o utilitário “AirwatchHelper.exe”, utiliza três threads dedicadas (tarefas de C2, exfiltração de logs de depuração e beaconing) e introduz mensagens “MISMATCH” (erro de versão), “DEBUG” (depuração) e “PING” (sinalização).
Entre os novos comandos estão UpdateChrome, UploadFile, OpenURL, EnterpriseChromeProfiles, EnterpriseIslandProfiles e ExfilAlreadyOpenChrome. Um comando chamado RunUtility foi observado, mas permanece não implementado.
Imagem: Internet
A Unit 42 detectou amostras .NET assinadas com um certificado “provavelmente roubado” da Aoteng Industrial Automation (Langfang) Co., Ltd., compiladas inicialmente em 28 de junho de 2024. Diferentemente da variante em PowerShell, que se mantém persistente por meio de scheduled task, essa versão não apresenta mecanismo de persistência.
Alvo e impacto potencial
A forma de distribuição do Airstalk ainda não foi esclarecida, mas o uso de APIs de MDM e a atenção a navegadores corporativos sugerem uma possível ofensiva contra empresas de terceirização de processos de negócios (BPO). Sessões de navegador furtadas podem abrir caminho para acesso indevido a múltiplos clientes dessas organizações, tornando-as alvos valiosos para atacantes dispostos a manter presença prolongada nos sistemas comprometidos.
Com informações de The Hacker News