Pesquisadores de segurança cibernética detectaram em estado selvagem mais uma variante da família de ransomware Phobos, conhecida como Faust.
A Fortinet FortiGuard Labs, que detalhou a última iteração do ransomware, disse que ele está sendo propagado por meio de uma infecção que entrega um documento Microsoft Excel (.XLAM) contendo um script VBA.
"Os atacantes utilizaram o serviço Gitea para armazenar vários arquivos codificados em Base64, cada um carregando um binário malicioso", disse a pesquisadora de segurança Cara Lin em um relatório técnico publicado na semana passada.
"Quando esses arquivos são injetados na memória do sistema, eles iniciam um ataque de criptografia de arquivo."
Faust é a última adição a várias variantes de ransomware da família Phobos, incluindo Eking, Eight, Elbie, Devos e 8Base.
Vale a pena notar que Faust já foi documentado pela Cisco Talos em novembro de 2023.
A empresa de segurança cibernética descreveu a variante como ativa desde 2022 e "não tem como alvo indústrias ou regiões específicas".
A cadeia de ataque começa com um documento XLAM que, quando aberto, baixa dados codificados em Base64 do Gitea para salvar um arquivo XLSX inofensivo, enquanto também recupera discretamente um executável que se disfarça de atualizador para o software AVG AntiVirus ("AVG updater.exe").
O binário, por seu turno, funciona como um downloader para buscar e lançar outro executável chamado "SmartScreen Defender Windows.exe" a fim de iniciar seu processo de criptografia, empregando um ataque sem arquivo para implantar o shellcode malicioso.
"A variante Faust tem a capacidade de manter a persistência em um ambiente e cria múltiplas threads para uma execução eficiente", disse Lin.
O desenvolvimento acontece quando novas famílias de ransomware como Albabat (aka White Bat), Kasseika, Kuiper, Mimus e NONAME ganharam tração, sendo o primeiro um malware baseado em Rust que é distribuído na forma de software fraudulento como uma ferramenta de ativação digital do Windows 10 falsa e um programa de cheats para o jogo Counter-Strike 2.
A Trellix, que examinou as versões Windows, Linux e macOS do Kuiper no início deste mês, atribuiu o ransomware baseado em Goland a um ator de ameaças chamado RobinHood, que o anunciou pela primeira vez em fóruns underground em setembro de 2023.
"A natureza focada na concorrência do Golang beneficia o ator da ameaça aqui, evitando condições de corrida e outros problemas comuns ao lidar com múltiplas threads, que de outra forma seria uma (quase) certeza", disse o pesquisador de segurança Max Kersten.
"Outro fator que o ransomware Kuiper explora, que também é uma razão para o aumento da popularidade do Golang, são as capacidades multiplataforma da linguagem para criar builds para uma variedade de plataformas.
Essa flexibilidade permite que os atacantes adaptem seu código com pouco esforço, especialmente porque a maioria da base de código (ou seja, atividade relacionada à criptografia) é puramente Golang e não requer reescrita para uma plataforma diferente."
NONAME também é notável pelo fato de seu site de vazamento de dados imitar o do grupo LockBit, aumentando a possibilidade de que ele seja outro LockBit ou que ele colete bancos de dados vazados compartilhados por LockBit no portal oficial de vazamentos, o pesquisador Rakesh Krishnan apontou.
Os achados seguem um relatório da empresa francesa de segurança cibernética Intrinsec que ligou o novo ransomware 3AM (também escrito como ThreeAM) ao ransomware Royal/BlackSuit, que, por sua vez, surgiu após o desligamento do sindicato de cibercrime Conti em maio de 2022.
As ligações são originadas a partir de uma "superposição significativa" em táticas e canais de comunicação entre o 3 AM ransomware e a "infraestrutura compartilhada de ex-Conti-Ryuk-TrickBot".
Não é só isso.
Os atores do ransomware têm sido observados mais uma vez usando o TeamViewer como um vetor inicial de acesso para violar ambientes alvo e tentar implantar criptografadores baseados no construtor de ransomware LockBit, que vazou em setembro de 2022.
"Os atores de ameaças buscam qualquer meio disponível de acesso a pontos individuais de acesso para causar estragos e possivelmente estender seu alcance ainda mais na infraestrutura", disse a empresa de segurança cibernética Huntress.
Nas últimas semanas, o LockBit 3.0 também foi distribuído na forma de arquivos Microsoft Word disfarçados de currículos direcionados a entidades na Coréia do Sul, segundo o AhnLab Security Intelligence Center (ASEC).
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...