Pesquisadores de segurança cibernética disseram ter descoberto o que dizem ser os primeiros ataques à cadeia de suprimentos de software de código aberto direcionados especificamente ao setor bancário.
“Esses ataques utilizaram técnicas avançadas, incluindo o direcionamento de componentes específicos em ativos da web do banco da vítima, anexando funcionalidades maliciosas a ele”, informa a empresa de segurança de aplicativos Checkmarx em um relatório publicado na semana passada.
Segundo a empresa, os invasores empregaram táticas enganosas, como criar um perfil falso no LinkedIn para parecer centros de comando e controle (C&C) confiáveis e personalizados para cada alvo, explorando serviços legítimos para atividades ilícitas.
Os pacotes npm já foram relatados e retirados. Os nomes dos pacotes não foram divulgados. Npm é o gerenciador de pacotes do Node (Node Package Manager) amplamente usado por desenvolvedores JavaScript para compartilhar ferramentas, instalar vários módulos e gerenciar suas dependências.
No primeiro ataque, o operador do malware teria carregado alguns pacotes no registro npm no início de abril, se passando por funcionário do banco de destino. Os módulos vêm com um script de pré-instalação para ativar a sequência de infecção. Para completar, o operador da ameaça criou uma página falsa no LinkedIn.
Depois de iniciado, o script determinava o sistema operacional host para verificar se era Windows, Linux ou macOS e baixava um malware de segundo estágio de um servidor remoto usando um subdomínio no Azure que incorporava o nome do banco em questão.
“O invasor utilizou de maneira inteligente os subdomínios CDN do Azure para entregar efetivamente a carga útil de segundo estágio”, disseram os pesquisadores da Checkmarx. “Essa tática é particularmente inteligente porque ignora os métodos tradicionais de lista de negação, devido ao status do Azure como um serviço legítimo.”
A carga útil de segundo estágio usada na invasão é o Havoc, uma estrutura de comando e controle (C&C) de código aberto que está cada vez mais sob o radar de operadores de ameaças que procuram evitar a detecção decorrente do uso de Cobalt Strike, Sliver e Brute Ratel.
Em um ataque não relacionado detectado em fevereiro visando um banco diferente, o hacker carregou no npm um pacote que foi “meticulosamente projetado para se misturar ao site do banco da vítima e permanecer inativo até que fosse solicitado a entrar em ação”. Ele foi projetado especificamente para interceptar secretamente os dados de login e exfiltrar os detalhes para uma infraestrutura controlada por atores.
“A segurança da cadeia de suprimentos gira em torno da proteção de todo o processo de criação e distribuição de software, desde os estágios iniciais de desenvolvimento até a entrega ao usuário final”, disse a empresa. “Uma vez que um pacote malicioso de código aberto entra no pipeline, é essencialmente uma violação instantânea – tornando qualquer contramedida subsequente ineficaz. Em outras palavras, o dano está feito.”
A descoberta ocorreu quando o grupo de hackers de língua russa RedCurl invadiu um grande banco russo — não revelado — e uma empresa australiana em novembro de 2022 e maio deste ano para desviar segredos corporativos e informações de funcionários como parte de uma sofisticada campanha de phishing, disse o braço russo do Group-IB, FACCT.
Veja isso
Hacker mexicano instala malware para Android em bancos globais
Hackers brasileiros lançam ciberataque a bancos portugueses
Nos últimos quatro anos e meio, o grupo de língua russa Red Curl realizou ao menos 34 ataques a empresas do Reino Unido, Alemanha, Canadá, Noruega, Ucrânia e Austrália”, disse a empresa. Mas mais da metade dos ataques (20) foram na Rússia. Entre as vítimas estavam empresas de construção, financeiras, consultorias, varejistas, bancos, seguradoras e organizações jurídicas.
Instituições financeiras também têm recebido ataques usando um kit de ferramentas de injeção na web chamado drIBAN para realizar transações não autorizadas no computador da vítima de uma maneira que burla a verificação de identidade e os mecanismos antifraude adotados pelos bancos.
“A principal funcionalidade do drIBAN é o mecanismo ATS [sistema de transferência automática]”, observaram pesquisadores da Cleafy, em uma análise divulgada na semana passada. ATS é uma classe de web inject que altera as transferências bancárias legítimas realizadas pelo usuário, mudando o beneficiário e transferindo dinheiro para uma conta bancária ilegítima controlada pela TA ou afiliadas, que são então responsáveis pelo manuseio e lavagem do dinheiro roubado.
