Phishing.jpg

Hackers usam novas cepas de malware em ataques de phishing

Cepas nunca vistas antes são fornecidas por meio de iscas especialmente adaptadas
Da Redação
05/05/2021
Compartilhar no linkedin
Compartilhar no email
Compartilhar no whatsapp
Compartilhar no facebook
Compartilhar no twitter
Compartilhar no pinterest

Uma campanha de phishing em escala global teve como alvo empresas em todo o mundo de vários de setores com cepas de malware nunca antes vistas, fornecidas por meio de iscas especialmente adaptadas. Os ataques atingiram ao menos 50 empresas, em 2 de dezembro e entre 11 e 18 de dezembro do ano passado, de acordo com um relatório da Mandiant, divulgado nesta terça-feira, 4.

Enquanto os pesquisadores de ameaças da empresa de segurança cibernética rastreavam o grupo denominado UNC2447, que está por trás dessa campanha, foram implantadas três novas cepas do malware em computadores usando iscas de phishing personalizadas.

O malware usado pelo UNC2529 nesses ataques é fortemente ofuscado para impedir a análise e tenta evitar a detecção implantando carga útil na memória dos computadores sempre que possível. “O agente da ameaça fez uso extensivo de ocultação e malware sem arquivo para complicar a detecção e fornecer uma backdoor bem codificada e extensível”, disse a Mandiant.

Durante as duas ondas de ataques, o grupo de ameaças usou e-mails de phishing com links para um downloader baseado em JavaScript — apelidado de DoubleDrag — ou um documento Excel com uma macro incorporada que baixou um dropper baseado em PowerShell na memória (conhecido como DoubleDrop) de servidores de comando e controle (C&C). O dropper DoubleDrop agrupa instâncias de 32 e 64 bits de uma backdoor, denominada DoubleBack, implementada como uma biblioteca dinâmica PE.

A porta dos fundos é inserida no processo do PowerShell gerado pelo conta-gotas. Ainda assim, ela foi projetada para tentar posteriormente se infiltrar em um processo do Windows Installer (msiexec.exe) recém-criado se o mecanismo antivírus não estiver sendo executado no computador comprometido.

Veja isso
Cibercrime prefere usar Microsoft, DHL e Google em campanhas de phishing
Phishing financeiro está em queda, revela relatório da Kaspersky

No próximo estágio, a backdoor DoubleBack carrega seu plug-in e alcança o servidor C&C em um loop para buscar comandos a serem executados no dispositivo infectado. “Um fato interessante sobre todo o ecossistema é que apenas o downloader existe no sistema de arquivos”, acrescenta a Mandiant. “O resto dos componentes são serializados no banco de dados do registro, o que torna sua detecção um pouco mais difícil, especialmente por mecanismos antivírus baseados em arquivos.”

Sinais de spear phishing

O grupo UNC2529 usou uma infraestrutura considerável para realizar seus ataques, com cerca de 50 domínios sendo usados ​​para entregar os e-mails de phishing. O grupo também investiu tempo para adaptar seus ataques às vítimas visadas, em tentativas evidentes de garantir que seus e-mails fossem vistos como mensagens legítimas de parceiros de negócios ou clientes.

Os hackers usaram essa tática para aumentar a chance de que suas mensagens fossem abertas e os alvos fossem infectados.

“Disfarçado de executivo de conta, sete e-mails de phishing foram observados visando o setor médico, eletrônicos de alta tecnologia, fabricantes de equipamentos automotivos e militares, além de um empreiteiro de defesa autorizado com assuntos muito específicos para os produtos da empresa de manufatura de eletrônicos”, diz a Mandiant.

A campanha de phishing do UNC2529 não se concentrou em um único setor vertical ou em uma única região durante as duas ondas de ataques. Embora a principal área alvo do grupo fosse os EUA, os ataques também visavam organizações da EMEA (Europa, Oriente Médio e África), Ásia e Austrália. 

“Embora a Mandiant não tenha evidências sobre os objetivos desse operador de ameaças, sua ampla segmentação de setores e regiões geográficas é consistente com um cálculo de segmentação mais comumente visto entre grupos com motivação de roubo financeiro”, concluiu a empresa. “O DoubleBack parece ser um trabalho em andamento e a Mandiant antecipa outras ações do UNC2529 para comprometer as vítimas em todas as indústrias em todo o mundo.”

Compartilhar:

Compartilhar no linkedin
Compartilhar no email
Compartilhar no whatsapp
Compartilhar no facebook
Compartilhar no twitter
Compartilhar no pinterest