Hackers que estão por trás de uma recente campanha de malware têm usado informações roubadas de clientes bancários na Colômbia como iscas em e-mails de phishing com objetivo de infectar vítimas com o trojan de acesso remoto BitRAT, de acordo com a empresa de segurança em nuvem Qualys.
A empresa descobriu que a infraestrutura de uma cooperativa bancária colombiano, cujo mome não foi revelado, havia sido sequestrada por invasores enquanto investigava iscas do BitRAT em ataques de phishing.
Um total de 418.777 registros contendo dados confidenciais de clientes, incluindo nomes, números de telefone, endereços de e-mail, endereços, identidades nacionais colombianas, registros de pagamento e informações salariais foram roubados dos servidores violados.
Ao investigar a campanha, a Qualys também descobriu evidências de que os invasores acessaram os dados dos clientes, incluindo logs mostrando que eles procuraram bugs de injeção de SQL usando a ferramenta sqlmap. “Além disso, as próprias iscas contêm dados confidenciais do banco para fazê-los parecer legítimos. Isso significa que o invasor obteve acesso aos dados dos clientes”, disse Qualys.
Até o momento, nenhuma das informações roubadas dos servidores do banco colombiano foi encontrada em sites dark web ou clear web monitorados pela empresa.
Veja isso
Phishing usa o Dynamics 365 da Microsoft para roubar dados
Hackers usam métodos fortuitos de phishing para roubar dados
O malware é entregue aos computadores das vítimas por meio de um arquivo Excel malicioso que descarta e executa um arquivo INF codificado em uma macro altamente ofuscada junto com o anexo. A carga final do BitRAT é baixada de um repositório GitHub usando a biblioteca WinHTTP no dispositivo comprometido e executada com a ajuda da função WinExec. Durante o último estágio do ataque, o malware RAT move seu carregador para a pasta de inicialização do Windows para ganhar persistência e reiniciar automaticamente após a reinicialização do sistema.
Desde ao menos agosto de 2020, o BitRAT é vendido como malware pronto para uso em mercados da dark web e fóruns de crimes cibernéticos por apenas US$ 20 para acesso vitalício. Depois de pagar por uma licença, cada “cliente” usa sua própria abordagem para infectar as vítimas com esse malware, como phishing, watering holes e software trojanizado.
O versátil BitRAT pode ser usado para uma variedade de propósitos maliciosos, incluindo gravação de vídeo e áudio, roubo de dados, ataques DDoS, mineração de criptomoeda e entrega de cargas adicionais.