O grupo internacional de ransomware Hunters International está mirando em profissionais de TI com um novo trojan de acesso remoto (RAT) em C# chamado SharpRhino para invadir redes corporativas.
O malware ajuda a Hunters International a conseguir a infecção inicial, elevar seus privilégios em sistemas comprometidos, executar comandos PowerShell e, eventualmente, implantar o payload de ransomware.
Pesquisadores da Quorum Cyber que descobriram o novo malware relatam que ele é disseminado por um site de typosquatting que se passa pelo site do Angry IP Scanner, uma ferramenta de rede legítima usada por profissionais de TI.
Hunters International é uma operação de ransomware lançada no final de 2023 e sinalizada como uma possível rebrand do Hive devido às suas semelhanças de código.
Vítimas notáveis incluem o contratante da Marinha dos EUA Austal USA, o gigante da óptica japonesa Hoya, Integris Health e o Centro de Câncer Fred Hutch, onde os cibercriminosos demonstraram sua falta de limites morais.
Até agora, em 2024, o grupo de ameaças anunciou 134 ataques de ransomware contra várias organizações ao redor do mundo (exceto para os países da CIS), classificando-o como o décimo grupo mais ativo no espaço.
SharpRhino se espalha como um instalador de 32 bits assinado digitalmente ('ipscan-3.9.1-setup.exe') contendo um arquivo 7z autoextraível protegido por senha com arquivos adicionais para realizar a infecção.
O instalador modifica o registro do Windows para persistência e cria um atalho para o Microsoft.AnyKey.exe, normalmente um binário da Microsoft Visual Studio que é abusado neste caso.
Além disso, o instalador solta o 'LogUpdate.bat', que executa scripts PowerShell no dispositivo para compilar C# em memória para execução de malware de forma furtiva.
Para redundância, o instalador cria dois diretórios, 'C:\ProgramData\Microsoft: WindowsUpdater24' e 'LogUpdateWindows', que são usados na troca de comando e controle (C2).
Dois comandos estão codificados no malware, nomeadamente 'delay', para configurar o tempo do próximo pedido POST para receber um comando, e 'exit', para terminar sua comunicação.
A análise mostra que o malware pode executar PowerShell no host, o que pode ser usado para realizar várias ações perigosas.
A Quorum testou esse mecanismo lançando com sucesso a calculadora do Windows através do SharpRhino.
A nova tática da Hunters International de implantar sites para se passar por ferramentas legítimas de varredura de rede de código aberto indica que eles estão mirando em trabalhadores de TI na esperança de violar contas com privilégios elevados.
Os usuários devem ter cuidado com resultados patrocinados em resultados de busca para evitar malvertising, ativar bloqueadores de anúncios para ocultar completamente esses resultados, e marcar sites oficiais de projetos conhecidos por fornecer instaladores seguros.
Para mitigar os efeitos de ataques de ransomware, estabeleça um plano de backup, realize segmentação de rede e garanta que todos os softwares estejam atualizados para reduzir oportunidades para elevação de privilégio e movimentação lateral.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...