Atores de ameaças distribuem malware de captura de tela do OneDrive

Views: 360
0 0
Read Time:3 Minute, 27 Second

Por By Paolo Passeri

De acordo com os dados coletados pelo Netskope Threat Labs, ao longo de 2023, o OneDrive foi o aplicativo de nuvem mais explorado em termos de downloads de malware. E se um bom dia começa de manhã, 2024 não promete nada de bom.

Na verdade, no início de janeiro, e após uma pausa de nove meses, pesquisadores da Proofpoint detectaram uma nova campanha motivada financeiramente pelo TA866, um ator de ameaça caracterizado por estar envolvido em atividades relacionadas tanto ao cibercrime quanto ao ciberespionagem.

Em sua última campanha, os atores de ameaça inundaram alvos na América do Norte com vários milhares de e-mails contendo documentos em PDF com linhas de assunto que deveriam incentivar as vítimas a abrir os arquivos. Arquivos em PDF ocupam constantemente o topo da lista de tipos de arquivos de malware populares, e essa campanha não é exceção. Os PDFs continham URLs do OneDrive que, se clicadas, acionavam uma infecção de vários estágios levando à instalação da carga de malware Screenshotter, um utilitário de captura de tela armado pelos atacantes, por meio de um conhecido dropper.

Em particular, o link do OneDrive servia um arquivo JavaScript que, se executado pelo usuário, faria o download e a execução de um arquivo MSI, executando o dropper malicioso WasabiSeed. O script VBS do WasabiSeed então faria o download e executaria um segundo arquivo MSI contendo componentes da utilidade de captura de tela Screenshotter, que tiraria uma captura de tela da área de trabalho e a enviaria para o C2.

Este é mais um exemplo em que os atacantes aproveitaram vários truques de engenharia social: um assunto provocando a curiosidade da vítima e um serviço de nuvem legítimo desencadeando uma sofisticada cadeia de infecção de vários estágios.

Mitigando os riscos de malware entregue por serviços de nuvem legítimos

O Microsoft OneDrive é um dos milhares de serviços de nuvem nos quais o Netskope Next Gen SWG pode fornecer controle de acesso adaptativo, proteção contra ameaças e Prevenção de Perda de Dados. Também é um dos centenas de aplicativos para os quais a detecção de instância está disponível. Portanto, em casos em que este serviço, ou um aplicativo de armazenamento em nuvem semelhante, seja explorado para entregar uma carga de malware maliciosa ou hospedar a infraestrutura de comando e controle, seja uma instância pessoal ou corporativa, é possível configurar uma política para prevenir atividades potencialmente perigosas (como “Upload” e “Download”) se o serviço não for necessário pela organização, singularmente ou como uma categoria. Por outro lado, se o aplicativo estiver em uso pela organização, é possível configurar uma política para prevenir qualquer atividade arriscada de instâncias não corporativas apenas, mitigando o risco de entrega de malware e exfiltração de dados.

Os clientes da Netskope também estão protegidos contra malware distribuído de um serviço de nuvem legítimo e da web em geral dentro de sofisticadas cadeias de infecção de vários estágios, pela Proteção contra Ameaças da Netskope. A Proteção contra Ameaças da Netskope escaneia o tráfego web e em nuvem para detectar ameaças conhecidas e desconhecidas com um conjunto abrangente de mecanismos, incluindo AV baseado em assinatura, detectores de aprendizado de máquina para executáveis e documentos do Office, e sandboxing com proteção ao paciente zero. A inteligência de ameaças da Netskope também pode detectar conexões de comando e controle mesmo que sejam direcionadas a um serviço de nuvem legítimo.

O Netskope Cloud Exchange fornece poderosas ferramentas de integração para alavancar investimentos em todo o posture de segurança dos usuários por meio de integração com ferramentas de terceiros, como feeds de inteligência de ameaças, proteção de endpoint e tecnologias de proteção de e-mail (incluindo a Proofpoint).

Finalmente, a Netskope Advanced Analytics fornece painéis específicos para avaliar o risco de instâncias de nuvem não autorizadas sendo exploradas para entregar malware ou o risco de se tornar alvo de comunicações anômalas, com detalhes e insights ricos, apoiando equipes de segurança na análise e no processo de mitigação/remediação.

Esse artigo tem informações retiradas do blog da Netskope. A Neotel é parceira da Netskope e, para mais informações sobre as soluções e serviços da empresa, entre em contato com a gente.

POSTS RELACIONADOS