Esteganografia: a nova técnica de ciberataque para atingir empresas

Técnica utilizada por hackers oculta dados dentro de arquivos aparentemente inofensivos para torná-los indetectáveis pelos usuários e produtos de segurança
Da Redação
17/04/2024

Uma nova campanha conduzida pelo grupo de hackers TA558 está ocultando códigos maliciosos dentro de imagens usando esteganografia para entregar várias ferramentas de malware direcionados a sistemas. Esteganografia  (do grego “escrita escondida”) é a técnica de ocultar dados dentro de arquivos aparentemente inofensivos para torná-los indetectáveis ​​pelos usuários e produtos de segurança.

A gangue TA558 é um grupo de ameaças ativo desde 2018, conhecido por atingir empresas de hotelaria e turismo em todo o mundo, com foco na América Latina. A última campanha do grupo, apelidada de “SteganoAmor” devido ao uso extensivo de esteganografia, foi descoberta pela Positive Technologies. Os investigadores identificaram mais de 320 ataques nesta campanha que afetaram vários setores e países.

Os ataques começam com e-mails maliciosos contendo anexos de documentos aparentemente inofensivos — arquivos Excel e Word — que exploram a falha CVE-2017-11882, uma vulnerabilidade comumente direcionada do Microsoft Office Equation Editor, corrigida em 2017.

Os e-mails são enviados de servidores SMTP comprometidos para minimizar as chances de as mensagens serem bloqueadas, pois vêm de domínios legítimos.

Se uma versão antiga do Office estiver instalada, a exploração baixará um Visual Basic Script (VBS) da pasta legítima ao abrir o arquivo “.ee service”. Esse script é então executado para buscar um arquivo de imagem (JPG) contendo uma carga útil codificada em base 64.

A Positive Technologies observou diversas variantes da cadeia de ataque, entregando uma ampla gama de famílias de malware, incluindo:

• AgentTesla – Spyware que funciona como keylogger e ladrão de credenciais, capturando pressionamentos de teclas, dados da área de transferência do sistema, fazendo capturas de tela e exfiltrando outras informações confidenciais.

• FormBook – malware infostealer que coleta credenciais de vários navegadores da web, coleta capturas de tela, monitora e registra pressionamentos de teclas e pode baixar e executar arquivos de acordo com os comandos que recebe.

• Remcos – Malware que permite ao invasor gerenciar remotamente uma máquina comprometida, executando comandos, capturando pressionamentos de teclas e ligando a webcam e o microfone para vigilância.

• LokiBot – Ladrão de informações que tem como alvo dados como nomes de usuário, senhas e outras informações relacionadas a muitos aplicativos comumente usados.

• Guloader – Downloader usado para distribuir cargas secundárias, normalmente compactadas para evitar a detecção de antivírus.

• Snake Keylogger – Malware de roubo de dados que registra as teclas digitadas, coleta dados da área de transferência do sistema, captura capturas de tela e coleta credenciais de navegadores da web.

• XWorm – Trojan de acesso remoto (RAT) que dá ao invasor controle remoto sobre o computador infectado.

Veja isso
Mais de 85% dos ataques ficam ocultos em canais criptografados
Microsoft alerta para skimming oculto em imagens

As cargas finais e os scripts maliciosos são frequentemente armazenados em serviços de nuvem legítimos, como o Google Drive, aproveitando sua boa reputação para evitar serem sinalizados por ferramentas AV. As informações roubadas são enviadas para servidores FTP legítimos comprometidos, usados ​​como infraestrutura de comando e controle (C&C) para fazer o tráfego parecer normal.

A Positive Technologies descobriu mais de 320 ataques, a maioria focados em países da América Latina, mas o escopo do alvo se estende por todo o mundo.

Uma lista completa dos indicadores de comprometimento (IoCs) do grupo de hackers TA558 (em inglês) está disponível neste link.

Compartilhar:

Últimas Notícias