Os atores de ameaças por trás dos roubos de informação RedLine e Vidar foram observados direcionando-se para ransomwares por meio de campanhas de phishing que disseminam payloads iniciais assinados com certificados de assinatura de código de Validação Avançada (EV).
"Isso sugere que os atores de ameaças estão otimizando as operações, tornando suas técnicas multifuncionais", disseram os pesquisadores da Trend Micro em uma nova análise publicada nesta semana.
No incidente investigado pela empresa de cibersegurança, uma vítima não identificada teria recebido inicialmente um malware de roubo de informação com certificados EV de assinatura de código, seguido por um ransomware usando a mesma técnica de entrega.
No passado, infecções QakBot utilizaram amostras assinadas com certificados válidos de assinatura de código para burlar proteções de segurança.
Os ataques começam com e-mails de phishing que empregam iscas bem conhecidas para enganar as vítimas a executar anexos maliciosos que se disfarçam de imagens PDF ou JPG, mas na verdade são executáveis que iniciam a violação ao serem executados.
Enquanto a campanha que visava a vítima entregou malware de roubo em julho, um payload de ransomware chegou no início de agosto após a recepção de uma mensagem de e-mail contendo um anexo de e-mail de reclamação fictício do TripAdvisor ("TripAdvisor-Complaint.pdf.htm"), provocando uma sequência de passos que culminou na implantação do ransomware.
"Neste ponto, vale ressaltar que, ao contrário das amostras do ladrão de informação que investigamos, os arquivos usados para soltar o payload de ransomware não tinham certificados EV", disseram os pesquisadores.
"No entanto, os dois se originam do mesmo ator de ameaça e são espalhados usando o mesmo método de entrega.
Podemos, portanto, assumir uma divisão de trabalho entre o provedor do payload e os operadores."
O desenvolvimento ocorre quando a IBM X-Force descobriu novas campanhas de phishing disseminando uma versão melhorada de um carregador de malware chamado DBatLoader, que foi usado como conduto para distribuir FormBook e Remcos RAR este ano.
As novas capacidades do DBatLoader facilitam a omissão do UAC, a persistência e a injeção de processo, indicando que ele está sendo ativamente mantido para soltar programas maliciosos que podem coletar informações sensíveis e permitir o controle remoto dos sistemas.
O recente conjunto de ataques, detectados desde o fim de junho, também foi projetado para entregar malware comum como o Agent Tesla e o Warzone RAT.
A maioria das mensagens de e-mail foram direcionadas a falantes de inglês, embora e-mails em espanhol e turco também tenham sido observados.
"Em várias campanhas observadas, os atores de ameaças obtiveram controle suficiente sobre a infraestrutura de email para permitir que emails maliciosos passassem pelos métodos de autenticação de email SPF, DKIM e DMARC", disse a empresa.
"A maioria das campanhas usaram o OneDrive para montar e buscar payloads adicionais, com uma pequena fração utilizando transfer[.]sh ou novos/dominios comprometidos."
Em notícias relacionadas, a Malwarebytes revelou que uma nova campanha de malvertising está visando usuários que estão procurando pelo software de videoconferência Webex da Cisco em motores de busca como o Google para redirecioná-los para um website falso que propaga o malware BATLOADER.
O BATLOADER, por sua vez, estabelece contato com um servidor remoto para baixar um payload criptografado de segunda fase, que é outro malware roubador e keylogger conhecido como DanaBot.
Uma técnica inovadora adotada pelo ator de ameaça é o uso de URLs de rastreamento como um mecanismo de filtragem e redirecionamento para identificar e determinar potenciai
Publicidade
O curso Python Básico da Solyd oferece uma rápida aproximação à linguagem Python com diversos projetos práticos. Indo do zero absoluto até a construção de suas primeiras ferramentas. Tenha também suporte e certificado gratuitos. Saiba mais...