Uma campanha de phishing em andamento está utilizando temas relacionados a violações de direitos autorais para enganar vítimas a baixarem uma versão mais recente do information stealer Rhadamanthys desde julho de 2024.
A empresa de cibersegurança Check Point está rastreando a campanha em larga escala sob o nome CopyRh(ight)adamantys.
As regiões visadas incluem os Estados Unidos, Europa, Ásia Oriental e América do Sul.
"A campanha se passa por dezenas de empresas, enquanto cada e-mail é enviado para uma entidade visada específica de uma conta do Gmail diferente, adaptando a empresa e o idioma para cada entidade visada", disse a empresa em uma análise técnica.
Quase 70% das empresas imitadas são dos setores de Entretenimento / Mídia e Tecnologia / Software.
Os ataques são notáveis pelo emprego da versão 0.7 do stealer Rhadamanthys, que, conforme detalhado pelo Insikt Group da Recorded Future no início do mês passado, incorpora inteligência artificial (AI) para reconhecimento óptico de caracteres (OCR).
A empresa israelense disse que a atividade se sobrepõe a uma campanha que a Cisco Talos divulgou na semana passada como visando usuários de contas comerciais e de publicidade do Facebook em Taiwan para entregar os malwares stealer Lumma ou Rhadamanthys.
As cadeias de ataque são caracterizadas pelo uso de táticas de spear-phishing que envolvem o envio de mensagens de e-mail alegando supostas violações de direitos autorais ao se passarem por empresas conhecidas.
Esses e-mails são enviados de contas do Gmail e afirmam ser de representantes legais das empresas imitadas.
O conteúdo da mensagem acusa os destinatários de usarem indevidamente sua marca em plataformas de mídia social e solicita que eles removam as imagens e vídeos em questão.
"As instruções de remoção são ditas estar num arquivo protegido por senha.
No entanto, o arquivo anexado é um link de download para appspot.com, vinculado à conta do Gmail, que redireciona o usuário para Dropbox ou Discord para baixar um arquivo protegido por senha (com a senha fornecida no e-mail)", disse a Check Point.
O arquivo RAR contém três componentes: um executável legítimo vulnerável a DLL side-loading, a DLL maliciosa contendo o payload do stealer e um documento isca.
Uma vez executado o binário, ele carrega lateralmente o arquivo DLL, que então abre caminho para a implantação do Rhadamanthys.
A Check Point, que atribuiu a campanha a um provável grupo de cibercrime, disse que é possível que os agentes de ameaças tenham utilizado ferramentas de AI, dada a escala da campanha e a variedade das iscas e e-mails do remetente.
"A abordagem generalizada e indiscriminada da campanha às organizações em várias regiões sugere que foi orquestrada por um grupo de cibercrime motivado financeiramente ao invés de um ator estatal", disse.
Seu alcance global, táticas de phishing automatizadas e iscas diversas demonstram como os atacantes evoluem continuamente para melhorar suas taxas de sucesso.
As descobertas vêm enquanto a Kaspersky lança luz sobre um novo "pacote crimeware completo" apelidado de SteelFox que é propagado via posts em fóruns, rastreadores torrent e blogs, passando-se por utilidades legítimas como Foxit PDF Editor, JetBrains e AutoCAD.
A campanha, que remonta a fevereiro de 2023, fez vítimas ao redor do mundo, particularmente localizadas no Brasil, China, Rússia, México, EAU, Egito, Argélia, Vietnã, Índia e Sri Lanka.
Ela não foi atribuída a nenhum ator ou grupo de ameaças conhecido.
"Entregue via cadeias de execução sofisticadas, incluindo shellcoding, essa ameaça abusa dos serviços e drivers do Windows", disse o pesquisador de segurança Kirill Korchemny.
Ela também utiliza malware stealer para extrair dados do cartão de crédito da vítima, bem como detalhes sobre o dispositivo infectado.
O ponto de partida é um aplicativo dropper que se passa por versões crackeadas de softwares populares, que, ao ser executado, solicita acesso de administrador e solta um loader da próxima etapa que, por sua vez, estabelece persistência e lança o DLL do SteelFox.
O acesso de administrador é subsequentemente abusado para criar um serviço que executa uma versão antiga do WinRing0.sys, uma biblioteca de acesso a hardware para Windows que é vulnerável às
CVE-2020-14979
e
CVE-2021-41285
, permitindo assim que o ator da ameaça obtenha privilégios NT\SYSTEM.
"Esse driver também é um componente do minerador XMRig, por isso é utilizado para fins de mineração", observou Korchemny.
Após inicializar o driver, a amostra lança o minerador.
Isso representa um executável modificado do XMRig com preenchimentos de código inútil.
Ele se conecta a uma piscina de mineração com credenciais codificadas.
O minerador, por sua vez, é baixado de um repositório no GitHub, com o malware também iniciando contato com um servidor remoto via TLS versão 1.3 para exfiltrar dados sensíveis dos navegadores web, como cookies, dados de cartão de crédito, histórico de navegação e lugares visitados, metadados do sistema, software instalado e fuso horário, entre outros.
"O uso altamente sofisticado de C++ moderno combinado com bibliotecas externas confere a este malware um poder formidável", disse a Kaspersky.
O uso de TLSv1.3 e SSL pinning garante uma comunicação segura e a coleta de dados sensíveis.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...