0
0
Um novo ladrão de informações sorrateiro está entrando nas máquinas dos usuários por meio de redirecionamentos de sites do Google Ads, que se apresentam como sites de download de softwares populares de força de trabalho remota, como Zoom e AnyDesk.
Atores de ameaças por trás da nova cepa de malware, “Rhadamanthys Stealer” – disponível para compra na Dark Web sob um modelo de malware como serviço – estão usando dois métodos de entrega para propagar sua carga útil, revelaram pesquisadores da Cyble em um post de blog publicado 12 de janeiro.
Uma delas é por meio de sites de phishing cuidadosamente elaborados que se fazem passar por sites de download não apenas para Zoom, mas também para AnyDesk, Notepad++ e Bluestacks. A outra é por meio de e-mails de phishing mais típicos que entregam o malware como um anexo malicioso, disseram os pesquisadores.
Ambos os métodos de entrega representam uma ameaça para a empresa, já que o phishing combinado com a credulidade humana por parte de funcionários corporativos desavisados continua a ser uma maneira bem-sucedida para os invasores “obter acesso não autorizado a redes corporativas, o que se tornou uma preocupação séria”, disseram eles. disse.
De fato, uma pesquisa anual da Verizon sobre violações de dados descobriu que, em 2021 , cerca de 82% de todas as violações envolveram engenharia social de alguma forma, com os agentes de ameaças preferindo phishing de seus alvos por e-mail mais de 60% das vezes.
Fraude “altamente convincente”
Os pesquisadores detectaram vários domínios de phishing que os agentes de ameaças criaram para espalhar o Rhadamanthys, a maioria dos quais parece ser links de instalador legítimos para as várias marcas de software mencionadas anteriormente. Alguns dos links maliciosos identificados incluem: bluestacks-install[.]com, zoomus-install[.]com, install-zoom[.]com, install-anydesk[.]com e zoom-meetings-install[.] com.
“Os agentes de ameaças por trás desta campanha… criaram uma página de phishing altamente convincente, representando sites legítimos para induzir os usuários a baixar o malware ladrão, que realiza atividades maliciosas”, escreveram eles.
Se os usuários morderem a isca, os sites baixarão um arquivo de instalação disfarçado como um instalador legítimo para baixar os respectivos aplicativos, instalando silenciosamente o ladrão em segundo plano sem que o usuário saiba, disseram os pesquisadores.
No aspecto de e-mail mais tradicional da campanha, os invasores usam spam que aproveitam a típica ferramenta de engenharia social de retratar a urgência de responder a uma mensagem com um tema financeiro. Os e-mails pretendem enviar extratos de contas aos destinatários com um Statement.pdf anexado, no qual eles são aconselhados a clicar para que possam responder com uma “resposta imediata”.
Se alguém clicar no anexo, ele exibirá uma mensagem indicando que é um “Adobe Acrobat DC Updater” e incluirá um link de download denominado “Download Update”. Esse link, uma vez clicado, baixa um executável de malware para o ladrão da URL “https[:]\\zolotayavitrina[.]com/Jan-statement[.]exe” na pasta Downloads da máquina da vítima, disseram os pesquisadores.
Depois que esse arquivo é executado, o ladrão é implantado para coletar dados confidenciais, como histórico do navegador e várias credenciais de login da conta – incluindo tecnologia específica para visar a carteira criptográfica – do computador do alvo, disseram eles.
A Carga Rhadamanthys
Rhadamanthys age mais ou menos como um típico ladrão de informações ; no entanto, ele possui alguns recursos exclusivos que os pesquisadores identificaram ao observar sua execução na máquina da vítima.
Embora seus arquivos de instalação iniciais estejam em código Python ofuscado, a carga final é decodificada como um shellcode na forma de um arquivo executável de 32 bits compilado com o compilador visual C/C++ da Microsoft, descobriram os pesquisadores.
A primeira ordem de trabalho do shellcode é criar um objeto mutex destinado a garantir que apenas uma cópia do malware seja executada no sistema da vítima a qualquer momento. Ele também verifica se está sendo executado em uma máquina virtual, aparentemente para evitar que o ladrão seja detectado e analisado em um ambiente virtual, disseram os pesquisadores.
“Se o malware detectar que está sendo executado em um ambiente controlado, ele encerrará sua execução”, escreveram eles. “Caso contrário, ele continuará e executará a atividade de ladrão conforme pretendido.”
Essa atividade inclui a coleta de informações do sistema — como nome do computador, nome de usuário, versão do sistema operacional e outros detalhes da máquina — executando uma série de consultas do Windows Management Instrumentation (WMI). Isso é seguido por uma consulta aos diretórios dos navegadores instalados – incluindo Brave, Edge, Chrome, Firefox, Opera Software e outros – na máquina da vítima para procurar e roubar o histórico do navegador, favoritos, cookies, preenchimentos automáticos e credenciais de login.
O ladrão também tem um mandato específico para atingir várias carteiras criptográficas, com alvos específicos como Armory, Binance, Bitcoin, ByteCoin, WalletWasabi, Zap e outros. Ele também rouba dados de várias extensões de navegador de carteira criptográfica, que são codificadas no binário do ladrão, disseram os pesquisadores.
Outros aplicativos visados pelo Rhadamanthys são: clientes FTP, clientes de e-mail, gerenciadores de arquivos, gerenciadores de senhas, serviços VPN e aplicativos de mensagens. O ladrão também captura imagens da máquina da vítima. O malware eventualmente envia todos os dados roubados para o servidor de comando e controle (C2) dos invasores, disseram os pesquisadores.
Perigos para a empresa
Desde a pandemia, a força de trabalho corporativa tornou-se, em geral, mais dispersa geograficamente, apresentando desafios de segurança únicos . Ferramentas de software que facilitam a colaboração de trabalhadores remotos – como Zoom e AnyDesk – tornaram-se alvos populares não apenas para ameaças específicas de aplicativos , mas também para campanhas de engenharia social de invasores que desejam capitalizar esses desafios.
E embora a maioria dos funcionários corporativos já deva saber melhor, o phishing continua sendo uma maneira altamente bem-sucedida de os invasores se firmarem em uma rede corporativa, disseram os pesquisadores. Por causa disso, os pesquisadores da Cybel recomendam que todas as empresas usem produtos de segurança para detectar e-mails e sites de phishing em sua rede. Isso também deve ser estendido para dispositivos móveis que acessam redes corporativas, disseram eles.
As empresas devem educar os funcionários sobre os perigos de abrir anexos de e-mail de fontes não confiáveis, bem como baixar software pirata da Internet, disseram os pesquisadores. Eles também devem reforçar a importância do uso de senhas fortes e aplicar a autenticação multifator sempre que possível.
Por fim, os pesquisadores da Cyble aconselharam que, como regra geral, as empresas devem bloquear URLs – como sites Torrent/Warez – que podem ser usados para espalhar malware.
FONTE: DARK READING