Um grupo emergente que opera ameaças, cuja atividade vem sendo rastreada desde agosto, desenvolveu novas ferramentas para espalhar o ransomware Royal. O alerta foi feito pela equipe da Microsoft Security Threat Intelligence em um post publicado na quinta-feira passada, 17.
O grupo, para o qual a Microsoft usa uma designação temporária DEV-0569, o que significa que a empresa não tem certeza sobre sua origem ou identidade, normalmente depende de vetores de link de malvertising e phishing.
O rastreamento aponta para um downloader de malware chamado Batloader, que se faz passar por um instalador de software legítimo, como TeamViewer, Adobe Flash Player e Zoom, ou atualizações incorporadas em e-mails de spam, páginas de fórum falsas e comentários de blog para implantar o ransomware Royal, que surgiu pela primeira vez em setembro e está sendo distribuído por vários operadores de ameaças.
Quando iniciado, o Batloader usa o MSI Custom Actions para iniciar atividades maliciosas do PowerShell ou executar scripts em lote para ajudar na desativação de soluções de segurança e levar à disseminação de várias cargas de malware criptografadas que são descriptografadas e iniciadas com comandos do PowerShell.
A partir de setembro, a Microsoft percebeu que o DEV-0569 começou a usar formulários de contato para entregar suas cargas úteis. Em uma campanha específica, o DEV-0569 enviou uma mensagem aos alvos usando o formulário de contato nos sites desses alvos, se passando por uma autoridade financeira nacional. Quando um alvo contatado responde por e-mail, o DEV-0569 responde com uma mensagem que contém um link para o Batloader.
Veja isso
Manufatura teve a maior média de pagamento de ransomware
Setor de saúde foi o mais atacado por ransomware no 3º trimestre
Esse método foi visto em outras campanhas, incluindo o malware IcedID, usado principalmente pelo grupo Emotet.
A Microsoft também notou que, a partir de setembro, o DEV-0569 começou a hospedar arquivos de instalação falsos em sites de download de software de aparência legítima e repositórios legítimos para fazer downloads maliciosos parecerem autênticos para os alvos e uma expansão de sua técnica de malvertising usando anúncios do Google em campanhas regulares, combinando-se efetivamente com o tráfego normal de anúncios.
“Esses métodos permitem que o grupo alcance potencialmente mais alvos e, finalmente, atinja seu objetivo de implantar várias cargas úteis pós-compromisso”, diz o post.Finalmente, em setembro e outubro, a Microsoft viu uma atividade em que o DEV-0569 usava a ferramenta NSudo de código aberto para tentar desabilitar as soluções antivírus.