Uma onda de ataques contra empresas na Colômbia usa um trio de cavalos de Tróia de acesso remoto (RATs) para roubar dados confidenciais.

A campanha, batizada de Operação Spalax, foi revelada por pesquisadores da ESET na terça-feira.

Em uma postagem de blog, a empresa de segurança cibernética disse que o governo e entidades privadas na Colômbia estão sendo o alvo exclusivo de atores de ameaças, que parecem ter um interesse particular nas indústrias de energia e metal.

A ESET começou a rastrear a campanha em andamento no segundo semestre de 2020, quando pelo menos 24 endereços IP, provavelmente dispositivos comprometidos que agem como proxies para os servidores de comando e controle (C2) dos invasores, foram vinculados a uma série de ataques. .

Para iniciar a cadeia de infecção contra uma entidade alvo, os agentes de ameaças usam um método tradicional: e-mails de phishing. Os tópicos dessas mensagens fraudulentas variam de ações judiciais a audiências judiciais a avisos de congelamento de contas bancárias e notificações para fazer um teste COVID-19 obrigatório.

Em algumas amostras, órgãos como a Procuradoria-Geral da República (Procuradoria-Geral da República) e a Direcção Nacional de Impostos e Alfândegas (DIAN) foram suplantados.

Todo e-mail tem um arquivo .PDF anexado, vinculado a um arquivo .RAR. Se a vítima baixar o pacote, localizado no OneDrive, MediaFire e outros serviços de hospedagem, um arquivo executável aciona o malware.

Os agentes de ameaças usam uma seleção de droppers e packers para implantar cargas de Trojan, todas destinadas a executar um RAT, injetando-o em um processo legítimo.

Todas as três cargas úteis estão disponíveis comercialmente e não foram desenvolvidas internamente por atacantes cibernéticos.

O primeiro é o Remcos, malware disponível em fóruns clandestinos por apenas US $ 58. O segundo RAT é o njRAT, um cavalo de Tróia recentemente descoberto em campanhas que usam o Pastebin como alternativa aos frameworks C2, e o terceiro é o AsyncRAT, uma ferramenta de administração remota de código aberto.

“Não há uma relação direta entre conta-gotas e cargas úteis, pois vimos diferentes tipos de conta-gotas executando a mesma carga e também um único tipo de conta-gotas conectado a diferentes cargas”, observa ESET. "No entanto, podemos dizer que os gotejadores NSIS geralmente descartam Remcos, enquanto os empacotadores Agente Tesla e AutoIt normalmente descartam njRAT."

Os RATs podem fornecer controle de acesso remoto aos agentes de ameaças e também conter módulos para keylogging, captura de tela, coleta de conteúdo da área de transferência, exfiltração de dados e download e execução de malware adicional, entre outras funções.

De acordo com a ESET, não há pistas concretas para atribuição, no entanto, existem algumas sobreposições com APTC36, também conhecido como Águia Cega. Este APT foi conectado a ataques em 2019 contra entidades colombianas com o objetivo de roubar informações confidenciais.

O uso de serviços DNS dinâmicos pelo invasor significa que a infraestrutura da campanha também muda constantemente, com novos nomes de domínio sendo registrados para uso contra empresas colombianas regularmente.

A ESET também apontou links para pesquisas conduzidas pela Trend Micro em 2019. As táticas de phishing são semelhantes, mas embora o relatório da Trend Micro se refira à espionagem e, potencialmente, ao alvo de contas financeiras, a ESET não detectou nenhum uso de cargas além da espionagem cibernética. No entanto, a empresa reconhece que alguns dos alvos da campanha atual, incluindo uma agência de loteria, não parecem fazer sentido lógico apenas para atividades de espionagem.

A empresa de segurança cibernética acrescentou que, devido à grande e mutável infraestrutura desta campanha, devemos esperar que esses ataques continuem na região em um futuro próximo.


fonte: Ligação

fechar

VAMOS MANTER CONTATO!

Adoraríamos mantê-lo atualizado com nossas últimas notícias e ofertas 😎

Não fazemos spam! Leia nosso política de privacidade para mais informações.

Sobre o autor: Eduardo Kando Gerente WiseGroup
Estou aqui para ajudar e orientar todos os visitantes do site WisePlant. Será um prazer responder suas perguntas, conhecer suas preocupações e receber suas recomendações para melhorar nossos serviços.