Uma campanha contínua de engenharia social com supostas ligações ao grupo de ransomware Black Basta foi vinculada a "múltiplas tentativas de intrusão" com o objetivo de realizar roubo de credenciais e implantar um malware dropper chamado SystemBC.
"A isca inicial utilizada pelos atores de ameaças permanece a mesma: um bombardeio de e-mails seguido por uma tentativa de ligar para os usuários afetados e oferecer uma solução falsa," disse a Rapid7, acrescentando que "chamadas externas eram tipicamente feitas para os usuários afetados via Microsoft Teams."
A cadeia de ataques então convence o usuário a baixar e instalar um software legítimo de acesso remoto chamado AnyDesk, que atua como um canal para implantar payloads subsequentes e exfiltrar dados sensíveis.
Isso inclui o uso de um executável chamado "AntiSpam.exe" que supostamente baixa filtros de spam de e-mail e insta os usuários a inserir suas credenciais do Windows para completar a atualização.
A etapa é seguida pela execução de diversos binários, arquivos DLL e scripts do PowerShell, o que inclui um beacon HTTP baseado em Golang que estabelece contato com um servidor remoto, um proxy SOCKS e o SystemBC.
Para mitigar o risco representado pela ameaça, é aconselhado bloquear todas as soluções de desktop remoto não aprovadas e estar atento a chamadas telefônicas e mensagens de texto suspeitas alegando ser de pessoal interno de TI.
A revelação vem enquanto SocGholish (também conhecido como FakeUpdates), GootLoader, e Raspberry Robin emergiram como as cepas de loader mais comumente observadas em 2024, que então atuam como um trampolim para ransomware, de acordo com dados da ReliaQuest.
"GootLoader é novo na lista dos três principais este ano, substituindo QakBot à medida que sua atividade diminui," disse a empresa de cibersegurança.
Loaders de malware são frequentemente anunciados em fóruns cibercriminosos da dark web, como XSS e Exploit, onde são comercializados para cibercriminosos que buscam facilitar intrusões na rede e entrega de payload.
Esses loaders são frequentemente oferecidos através de modelos de assinatura, com taxas mensais concedendo acesso a atualizações regulares, suporte e novas funcionalidades desenhadas para evadir detecção.
Uma vantagem dessa abordagem baseada em assinatura é que ela permite até mesmo a atores de ameaças com expertise técnica limitada realizar ataques sofisticados.
Ataques de phishing também foram observados entregando um malware stealer de informações conhecido como 0bj3ctivity Stealer por meio de outro loader chamado Ande Loader como parte de um mecanismo de distribuição multicamadas.
A distribuição do malware através de scripts ofuscados e criptografados, técnicas de injeção em memória, e o aprimoramento contínuo do Ande Loader com funcionalidades como anti-debugging e obfuscação de strings sublinham a necessidade de mecanismos de detecção avançados e pesquisa contínua," disse a eSentire.
Estas campanhas são apenas as mais recentes em uma série de ataques de phishing e engenharia social que foram descobertos nas últimas semanas, mesmo enquanto atores de ameaças estão cada vez mais armando códigos QR falsos para propósitos maliciosos.
Uma campanha ClearFake que aproveita páginas web comprometidas para espalhar malware .NET sob o pretexto de baixar uma atualização do Google Chrome
Um ataque de phishing que emprega iscas temáticas de emprego para entregar AsyncRAT, Pure HVNC, XWorm, Venom RAT por meio de um carregador de shellcode Python
Uma campanha que usa sites falsos se passando por HSBC, Santander, Virgin Money e Wise para servir uma cópia do software AnyDesk de Monitoramento Remoto e Gerenciamento (RMM) para usuários do Windows e macOS, que é então usado para roubar dados sensíveis
Um site falso ("win-rar[.]co") aparentemente distribuindo WinRAR que é usado para implantar ransomware, minerador de criptomoedas e stealer de informações chamado Kematian Stealer que são hospedados no GitHub
Campanhas de download drive-by que utilizam anúncios maliciosos ou websites comprometidos que servem como um conduto para o NetSupport RAT
Uma campanha de malvertising em mídias sociais que sequestra páginas do Facebook para promover um site aparentemente legítimo de editor de fotos de inteligência artificial (AI) através de anúncios pagos que atraem vítimas para baixar a ferramenta RMM da ITarian e usá-la para entregar o Lumma Stealer
"O direcionamento dos usuários de mídias sociais para atividades maliciosas destaca a importância de medidas de segurança robustas para proteger credenciais de contas e prevenir acessos não autorizados," disseram pesquisadores da Trend Micro.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...