Cibercriminosos Usando PowerShell para Roubar Hashes NTLMv2 de Windows Comprometidos
11 de Setembro de 2023

Uma nova campanha de ataque cibernético está aproveitando o script PowerShell associado a uma ferramenta legítima de red teaming para saquear hashes NTLMv2 de sistemas Windows comprometidos, localizados principalmente na Austrália, Polônia e Bélgica.

A atividade recebeu o codinome de "Steal-It" pelo Zscaler ThreatLabz.

"Nesta campanha, os atores da ameaça roubam e exfiltram hashes NTLMv2 usando versões personalizadas do script PowerShell Start-CaptureServer do Nishang, executando vários comandos do sistema e exfiltrando os dados recuperados via APIs Mockbin", disseram os pesquisadores de segurança Niraj Shivtarkar e Avinash Kumar.

Nishang é um framework de PowerShell e payloads para segurança ofensiva, testes de intrusão e red teaming.

Os ataques usam até cinco diferentes cadeias de infecção, embora todos usem e-mails de phishing contendo arquivos ZIP como o ponto de partida para infiltrar alvos específicos usando técnicas de geofencing.

Cadeia de infecção de roubo da hash NTLMv2, que emprega uma versão personalizada do script PowerShell Start-CaptureServer mencionado para colher hashes NTLMv2.

Cadeia de infecção de roubo de informações do sistema que usa iscas do OnlyFans para atrair usuários australianos a baixar um arquivo CMD que pilha informações do sistema.

Cadeia de infecção "whoami" do Fansly, que usa imagens explícitas de modelos ucranianas e russas do Fansly para atrair usuários poloneses a baixar um arquivo CMD que exfiltra os resultados do comando "whoami".

Cadeia de infecção de atualização do Windows, que atinge usuários belgas com scripts falsos de atualização do Windows projetados para rodar comandos como "tasklist" e "systeminfo".

Vale a pena observar que a última sequência de ataque foi destacada pelo Computer Emergency Response Team da Ucrânia (CERT-UA) em maio de 2023 como parte de uma campanha APT28 dirigida contra instituições governamentais no país.

Esta campanha levanta a possibilidade de que a campanha "Steal-It" também possa ser obra do ator de ameaça patrocinado pelo Estado russo.

"Os scripts personalizados do PowerShell dos atores da ameaça e o uso estratégico de arquivos LNK dentro de arquivos ZIP destacam seu conhecimento técnico", disseram os pesquisadores.

"A persistência mantida movendo arquivos da pasta de downloads para a pasta inicial e renomeando-os ressalta a dedicação dos atores da ameaça a um acesso prolongado."

Publicidade

Pentest do Zero ao Profissional

O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...