A Microsoft está alertando os setores aeroespacial e de viagens sobre uma nova campanha de ataque direcionado de RAT (Remote Access Trojan ou trojan de acesso remoto) que visa roubar informações confidenciais das empresas afetadas. A gigante do software disse que estava rastreando a “campanha dinâmica” por vários meses por meio de uma série de e-mails de spear-phishing para disseminar um “carregador desenvolvido ativamente”.
A captura de tela postada no feed do Twitter do Microsoft Security Intelligence era de um e-mail de phishing que simula o de uma companhia legítima e solicita um orçamento para o fretamento de carga. “Uma imagem postada como um arquivo PDF contém um link embutido, normalmente se passando por serviços legítimos da web, que baixa um VBScript malicioso, que descarrega as cargas de RAT”, explica a postagem. Essas cargas úteis são RevengeRAT ou AsyncRAT.
Segundo a Microsoft, os RATs se conectam a um servidor de comando e controle (C&C) hospedado em um site dinâmico para se registrar com os invasores e, em seguida, usa um PowerShell codificado em UTF-8 e técnicas sem arquivo para baixar três estágios adicionais de pastebin [um tipo de aplicação web que permite fazer upload de trechos de código fonte] ou sites semelhantes.
“Os cavalos de Tróia continuamente reexecutam componentes até que eles sejam capazes de injetar em processos como RegAsm, InstallUtil ou RevSvcs. Eles roubam credenciais, capturas de tela e dados de webcam, dados de navegador e área de transferência, sistema e rede, e exfilam dados frequentemente via porta SMTP 587.”
Veja isso
Microsoft lança no GitHub um simulador de ciberataques
Microsoft diz que ações de ransomware contra o Exchange têm sido ‘limitadas’
O carregador que descarta os RATs foi identificado pela Morphisec, empresa especializada na proteção de endpoints, na semana passada como um crypter-as-a-service (CaaS) “altamente sofisticado” apelidado de “Snip3”.
Esse CaaS apresenta vários métodos para contornar a detecção por ferramentas de segurança, incluindo o uso de pastebin e top4top para teste, o reconhecimento de Windows Sandbox e virtualização VMWare, execução do código do PowerShell com o parâmetro “remotesigned” e compilação de carregadores RunPE no nó de extremidade em tempo de execução.
A Microsoft afirmou que seu produto 365 Defender detecta vários componentes do ataque, mas pediu às organizações dos setores-alvo que verifiquem se foram afetadas. Ela publicou uma lista de consultas de caça para que as organizações possam verificar atividades semelhantes, e-mails, implantes e outros indicadores de ataque.
