0
0
Atores de ameaças estão usando dados roubados de um banco colombiano como uma isca no que parece ser uma campanha maliciosa destinada a espalhar o malware BitRAT, descobriram os pesquisadores. A atividade demonstra a evolução de como os invasores estão usando malware comercial pronto para uso em cenários avançados de ameaças , disseram eles.
Pesquisadores da empresa de segurança e conformidade de TI Qualys estavam investigando “múltiplas iscas” para o BitRAT quando identificaram que a infraestrutura de um banco cooperativo colombiano havia sido sequestrada. Os invasores estavam usando dados confidenciais obtidos desse comprometimento para tentar capturar as vítimas, relataram em um post de blog publicado em 3 de janeiro.
“Enquanto nos aprofundamos na infraestrutura, identificamos logs que apontam para o uso da ferramenta sqlmap para encontrar possíveis falhas SQLi, juntamente com despejos de banco de dados reais”, escreveu Akshat Pradhan, engenheiro sênior de pesquisa de ameaças da Qualys, no post.
No geral, os agentes de ameaças vazaram 4.18.777 linhas de dados confidenciais dos clientes do banco, incluindo detalhes como números de identificação nacional colombiano – chamados números “Cedula” – bem como endereços de e-mail, números de telefone, nomes de clientes, registros de pagamento, salário, residência endereços e outros dados, disseram os pesquisadores.
Até agora, os pesquisadores não viram os dados despejados em nenhum fórum de hackers ou sites da Dark Web e estão seguindo as diretrizes padrão de divulgação de violação à medida que investigam, disseram eles.
Um rato comercial com uma cauda longa
Atores de ameaças começaram a comercializar o BitRAT em mercados cibercriminosos clandestinos a partir de fevereiro de 2021. O RAT é conhecido por sua presença na mídia social e seu preço relativamente baixo de US$ 20, o que o torna popular entre os cibercriminosos, disseram os pesquisadores.Os principais recursos do BitRAT incluem: exfiltração de dados, execução de cargas úteis com desvios, negação de serviço distribuída (DDoS), keylogging, gravação de webcam e microfone, roubo de credenciais, mineração Monero e execução de tarefas para processos, arquivos e software, entre outros.O BitRAT é um exemplo de como o uso de RATs comerciais evoluiu não apenas com novos recursos de propagação, mas também aproveitando o uso de infraestruturas legítimas para hospedar cargas maliciosas, disse Pradhan. Isso é algo que as empresas agora precisam considerar em suas respectivas posturas de defesa de segurança, observou ele.Para esse fim, os pesquisadores aconselharam que todas as organizações empreguem soluções de detecção e resposta de endpoint (EDR) para detectar malware como o BitRAT quando ele se insere em um endpoint de rede, disseram eles. Funções como gerenciamento de ativos, detecção de vulnerabilidades, conformidade com políticas, gerenciamento de patches e recursos de monitoramento de integridade de arquivos em um sistema são essenciais para combater malware como esse, acrescentaram.As empresas também devem implementar soluções externas de gerenciamento de superfície de ataque, que permitem monitoramento contínuo e redução de toda a superfície de ataque da empresa – incluindo ativos internos e voltados para a Internet e descoberta de exposições não identificadas anteriormente – para combater ameaças em evolução, disseram os pesquisadores.
Anatomia do BitRAT
Os pesquisadores encontraram e analisaram um cache de planilhas do Excel – todas de autoria do “Administrador” – sendo usadas como iscas para uma campanha BitRAT, com dados das tabelas sendo reutilizados em maldocs do Excel, além de incluídos no despejo do banco de dados, disseram eles.”O Excel contém uma macro altamente ofuscada que descarta uma carga útil .inf e a executa”, escreveu Pradhan no post. “A carga útil .inf é segmentada em centenas de matrizes na macro.”Uma rotina de desofuscação executa operações aritméticas nos arrays para reconstruir a carga quando estiver pronta para execução, com a macro gravando a carga em “temp” e executando-a por meio de um arquivo chamado advpack.dll, disse ele.A própria macro também inclui uma carga .dll de segundo estágio codificada em hexadecimal que é decodificada via certutil, gravada em “%temp%\” e executada pelo comando “rundll32”, descobriram os pesquisadores. Depois que esse processo é executado, os arquivos temporários são excluídos, disseram eles.É este arquivo .dll que usa várias técnicas anti-depuração para baixar e executar a carga final do BitRAT. O arquivo também usa a biblioteca WinHTTP para baixar cargas úteis incorporadas ao BitRAT de um repositório GitHub criado em meados de novembro por uma conta “descartável” para o diretório “% temp%”, escreveu Pradhan.No estágio final da execução do BitRAT, o .dll usa o WinExec para iniciar a carga útil “%temp%” e sai. Para manter a persistência na máquina de um usuário, a amostra BitRAT inicia e, em seguida, realoca o carregador para a inicialização do usuário, disseram os pesquisadores.
FONTE: DARK READING