Um ator de ameaças identificado como TA547 tem mirado dezenas de organizações alemãs com um ladrão de informações chamado Rhadamanthys, como parte de uma campanha de phishing com tema de fatura.
"Esta é a primeira vez que os pesquisadores observaram o uso de Rhadamanthys pelo TA547, um ladrão de informações utilizado por múltiplos atores de ameaças cibernéticas", disse a Proofpoint.
"Além disso, o ator pareceu usar um script PowerShell que os pesquisadores suspeitam ter sido gerado por um modelo de linguagem de grande escala (LLM)."
O TA547 é um ator de ameaças prolífico e motivado financeiramente, conhecido por estar ativo desde pelo menos novembro de 2017, utilizando iscas de phishing por email para entregar uma variedade de malware para Android e Windows, como ZLoader, Gootkit, DanaBot, Ursnif e até o ransomware Adhubllka.
Nos últimos anos, o grupo evoluiu para um corretor de acesso inicial (IAB) para ataques de ransomware.
Também foi observado o uso de truques de geofencing para restringir payloads a regiões específicas.
As mensagens de email observadas como parte da campanha mais recente se passam pela empresa alemã Metro AG e contêm um arquivo ZIP protegido por senha que, quando aberto, inicia a execução de um script remoto PowerShell para lançar o Rhadamanthys stealer diretamente na memória.
Interessantemente, o script PowerShell usado para carregar o Rhadamanthys inclui "comentários gramaticalmente corretos e hiperespecíficos" para cada instrução no programa, levantando a possibilidade de que ele possa ter sido gerado (ou reescrito) usando um LLM.
A hipótese alternativa é que o TA547 copiou o script de outra fonte que havia usado a tecnologia de IA gerativa para criá-lo.
"Esta campanha representa um exemplo de algumas mudanças de técnica do TA547, incluindo o uso de LNKs comprimidos e o Rhadamanthys stealer anteriormente não observado", disse a Proofpoint.
"Também fornece uma visão de como os atores de ameaças estão aproveitando conteúdo gerado por LLM em campanhas de malware."
O desenvolvimento ocorre à medida que as campanhas de phishing também têm se valido de táticas incomuns para facilitar ataques de coleta de credenciais.
Nestes emails, os destinatários são notificados de uma mensagem de voz e são direcionados a clicar em um link para acessá-la.
A payload obtida da URL é um conteúdo HTML fortemente ofuscado que executa código JavaScript incorporado em uma imagem SVG quando a página é renderizada no sistema alvo.
Presente dentro dos dados do SVG está "dados criptografados contendo uma segunda página de estágio solicitando que o alvo insira suas credenciais para acessar a mensagem de voz", disse a Binary Defense, acrescentando que a página é criptografada usando o CryptoJS.
Outros ataques baseados em email abriram caminho para o Agent Tesla, que emergiu como uma opção atraente para atores de ameaças devido a ele "ser um serviço de malware acessível com múltiplas capacidades para exfiltrar e roubar dados dos usuários", de acordo com a Cofense.
Campanhas de engenharia social também assumiram a forma de anúncios maliciosos servidos em motores de busca como o Google, que atraem usuários desavisados para baixar instaladores falsos de softwares populares como PuTTY, FileZilla e Room Planner para, em última análise, implantar Nitrogen e IDAT Loader.
A cadeia de infecção associada ao IDAT Loader é notável pelo fato de o instalador MSIX ser usado para lançar um script PowerShell que, por sua vez, contata um bot do Telegram para buscar um segundo script PowerShell hospedado no bot.
Esse script PowerShell atua então como um meio de entregar outro script PowerShell usado para contornar as proteções do Windows Antimalware Scan Interface (AMSI), bem como desencadear a execução do loader, que subsequentemente procede para carregar o trojan SectopRAT.
"Endpoints podem ser protegidos de anúncios maliciosos via políticas de grupo que restringem o tráfego vindo das principais redes de anúncios e também das menos conhecidas", disse Jérôme Segura, pesquisador principal de ameaças na Malwarebytes.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...