Uma versão atualizada de um malware de furto de informações, chamado Rhadamanthys, está sendo utilizada em campanhas de phishing direcionadas ao setor de óleo e gás.
"Os e-mails de phishing utilizam um anzol único de incidente veicular e, em estágios posteriores da cadeia de infecção, falsificam o Federal Bureau of Transportation em um PDF que menciona uma multa significativa pelo incidente", disse o pesquisador da Cofense, Dylan Duncan.
A mensagem de e-mail vem com um link malicioso que aproveita uma falha de redirecionamento aberto para levar os destinatários a um link que hospeda um suposto documento em PDF, mas, na realidade, é uma imagem que, ao clicar, baixa um arquivo ZIP com o payload do stealer.
Escrito em C++, o Rhadamanthys é projetado para estabelecer conexões com um servidor de comando e controle (C2) a fim de colher dados sensíveis dos hosts comprometidos.
"Esta campanha apareceu poucos dias após a ação de aplicação da lei contra o grupo de ransomware LockBit", disse Duncan.
"Embora isso possa ser uma coincidência, a Trend Micro revelou em agosto de 2023 uma variante do Rhadamanthys que veio com um payload do LockBit vazado, ao lado de um malware clipper e um minerador de criptomoedas.
"Os atores de ameaças adicionaram uma combinação de um stealer de informações e uma variante do ransomware LockBit em um único pacote Rhadamanthys, possivelmente indicando a evolução contínua do malware", observou a empresa.
O desenvolvimento ocorre em meio a um fluxo constante de novas famílias de malware stealer como Sync-Scheduler e Mighty Stealer, mesmo enquanto cepas existentes como StrelaStealer evoluem com técnicas de ofuscação aprimoradas e anti-análise.
Isso também segue o surgimento de uma campanha de malspam direcionada à Indonésia que emprega iscas relacionadas a bancos para propagar o malware Agent Tesla a fim de saquear informações sensíveis, como credenciais de login, dados financeiros e documentos pessoais.
As campanhas de phishing do Agent Tesla observadas em novembro de 2023 também têm como alvo a Austrália e os EUA, de acordo com a Check Point, que atribuiu as operações a dois atores de ameaças de origem africana rastreados como Bignosa (também conhecido como Nosakhare Godson e Andrei Ivan) e Gods (também conhecido como GODINHO ou Kmarshal ou Kingsley Fredrick), este último atuando como web designer.
"O principal ator [Bignosa] parece ser parte de um grupo operando campanhas de malware e phishing, visando organizações, o que é testemunhado pelas bases de dados de e-mails de negócios dos EUA e da Austrália, bem como de indivíduos", disse a empresa de cibersegurança israelense.
O malware Agent Tesla distribuído por essas cadeias de ataque foi encontrado protegido pelo Cassandra Protector, que ajuda a proteger programas de software contra esforços de engenharia reversa ou modificação.
As mensagens são enviadas via uma ferramenta de webmail de código aberto chamada RoundCube.
"Como visto a partir da descrição das ações desses atores de ameaças, não é necessário ter um diploma de ciência de foguetes para conduzir as operações de cibercrime por trás de uma das famílias de malware mais prevalentes nos últimos anos", disse a Check Point.
"É um curso de eventos infeliz causado pelo baixo nível de entrada, de modo que qualquer pessoa disposta a provocar vítimas a lançar o malware via campanhas de spam pode fazê-lo".
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...