Pesquisadores de cibersegurança detalharam campanhas generalizadas de phishing direcionadas a pequenas e médias empresas (PMEs) na Polônia durante maio de 2024, que levaram à implementação de várias famílias de malware como Agent Tesla, Formbook e Remcos RAT.
Algumas das outras regiões visadas pelas campanhas incluem Itália e Romênia, de acordo com a empresa de cibersegurança ESET.
"Os atacantes usaram contas de e-mail e servidores de empresas previamente comprometidos, não apenas para espalhar e-mails maliciosos, mas também para hospedar malware e coletar dados roubados," disse o pesquisador da ESET, Jakub Kaloč, em um relatório publicado hoje.
Essas campanhas, distribuídas em nove ondas, são notáveis pelo uso de um carregador de malware chamado DBatLoader (também conhecido como ModiLoader e NatsoLoader) para entregar os payloads finais.
Isso, disse a empresa de cibersegurança eslovaca, marca uma partida dos ataques anteriores observados no segundo semestre de 2023, que aproveitaram um serviço de criptografia-como-serviço (CaaS) chamado AceCryptor para propagar Remcos RAT (também conhecido como Rescoms).
"Durante o segundo semestre de [2023], Rescoms tornou-se a família de malware mais prevalente empacotada pelo AceCryptor," observou a ESET em março de 2024.
Mais da metade dessas tentativas aconteceu na Polônia, seguida por Sérvia, Espanha, Bulgária e Eslováquia.
O ponto de partida dos ataques foram e-mails de phishing que incorporavam anexos RAR ou ISO contendo malware que, ao serem abertos, ativavam um processo de múltiplas etapas para baixar e iniciar o trojan.
Nos casos em que um arquivo ISO foi anexado, isso levaria diretamente à execução do DBatLoader.
O arquivo RAR, por outro lado, continha um script obfuscado do Windows batch encerrando um executável ModiLoader codificado em Base64 disfarçado como uma lista de revogação de certificados codificados em PEM.
Um downloader baseado em Delphi, o DBatLoader é projetado principalmente para baixar e iniciar o malware da próxima etapa, seja do Microsoft OneDrive ou de servidores comprometidos pertencentes a empresas legítimas.
Independentemente do malware implantado, Agent Tesla, Formbook e Remcos RAT vêm com capacidades para desviar informações sensíveis, permitindo que os atores de ameaças "preparem o terreno para suas próximas campanhas."
O desenvolvimento ocorre à medida que a Kaspersky revelou que as PMEs estão sendo cada vez mais visadas por criminosos cibernéticos devido à falta de medidas robustas de cibersegurança, bem como recursos e expertise limitados.
"Ataques por trojans permanecem a ameaça cibernética mais comum, o que indica que os atacantes continuam a visar PMEs e preferem malware a software indesejado," disse o fornecedor de segurança russo no mês passado.
Trojans são particularmente perigosos porque imitam software legítimo, o que os torna mais difíceis de detectar e prevenir.
Sua versatilidade e capacidade de burlar medidas de segurança tradicionais os tornam uma ferramenta prevalente e eficaz para os atacantes cibernéticos.
Publicidade
O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...