29 de outubro de 2021

Pesquisadores de segurança alertam sobre novas e antigas ameaças. Microsoft divulga ação recente de hackers que visa Internet Explorer. Grupo cibercriminoso faz milhares de vítimas com nova campanha.

O que você vai ler:

Pesquisadores descobrem novo Trojan bancário em atividade desde 2018

Pesquisadores de segurança cibernética descobriram um novo Trojan, ativo desde 2018, chamado Numando. Escrito em Delphi, o malware financeiro exibe janelas de sobreposição falsas para enganar as vítimas, a fim de induzi-las a enviarem dados confidenciais, como credenciais usadas para acessar serviços financeiros.

Similar a muitas variantes de Trojans bancários, o Numando se espalha quase que exclusivamente por meio de campanhas de spam e phishing.

No entanto, essas tentativas de infecção não são exatamente sofisticadas, de acordo com os pesquisadores: apenas algumas centenas de vítimas do malware foram localizadas ao redor do mundo – um número bastante baixo, se comparado a campanhas de sucesso. Ao que tudo indica, o Numando é “consideravelmente mais malsucedido” do que outros cavalos de Tróia latino-americanos, como Mekotio e Grandoreiro.

Quando uma vítima cai no golpe, um .ZIP falso é baixado, junto com um .ZIP legítimo, que contém um arquivo .CAB – de um software legítimo -, um injetor e o Trojan. O malware está oculto em um grande arquivo de imagem .BMP. Se o aplicativo de software for executado, o injetor é carregado lateralmente e o malware é então descriptografado usando um algoritmo XOR e um códdigo-chave.

Após ser instalado em um dispositivo, o Numando cria falsas janelas de sobreposição quando a vítima visita seus serviços financeiros. Se os usuários enviarem suas credenciais, elas serão roubadas e enviadas para o servidor de comando e controle (C2) do malware.

O Numando também é capaz de simular cliques do mouse e ações do teclado, sequestrar funções de desligamento e reinicialização do PC, fazer capturas de tela e eliminar processos do navegador, alertam os pesquisadores.

Microsoft revela ação recente de hackers que explorou vulnerabilidades do Internet Explorer

A Microsoft detalhou uma observação recente de hackers explorando uma perigosa vulnerabilidade de execução de código remota no mecanismo de renderização MSHTML, também conhecido como Trident, do Internet Explorer, por meio de documentos Office manipulados e desenvolvedores direcionados.

A falha vinha sendo ativamente explorada nos sistemas Windows em agosto, mas na leva de patches divulgados pela empresa na metade de setembro foi incluído um patch para o bug até então desconhecido, rastreado como CVE-2021-40444.

Pelo menos uma organização que foi comprometida com sucesso por esta campanha, disse a Microsoft. Os invasores, neste caso, estavam usando a falha do mecanismo de renderização do IE para carregar um controle ActiveX malicioso por meio de um documento do Office.

A Microsoft considera este ataque como o trabalho de um ator de ameaça emergente ou “em desenvolvimento” e está rastreando o uso da infraestrutura Cobalt Strike como DEV-0365. A gigante do software sugere que pode se tratar de uma infraestrutura de comando e controle vendida como um serviço para outros criminosos cibernéticos e urge a instalação dos patches disponibilizados.

Cibercriminosos fingem ser do Departamento de Transporte dos EUA para infectar vítimas

Cibercriminosos se fizeram passar pelo Departamento de Transporte dos EUA (USDOT) em uma campanha de phishing de dois dias que usou uma combinação de táticas – incluindo a criação de novos domínios que imitam sites federais para parecer legítimos – para contornar sistemas de segurança.

Entre os dias 16 e 18 de agosto de 2021, pesquisadores do provedor de segurança de e-mail INKY detectaram 41 e-mails de phishing envolvendo uma isca de licitações para projetos que se beneficiam de um pacote de infraestrutura de US $ 1 trilhão aprovado recentemente pelo Congresso, de acordo com um relatório escrito por Roger Kay, vice-presidente da INKY.

A campanha – que teve como alvo empresas de setores como Engenharia, Energia e Arquitetura – enviou às vítimas em potencial um e-mail no qual elas são informadas de que o USDOT as está convidando a apresentar uma proposta para um projeto de departamento, induzindo-as a clicarem em um grande botão azul com as palavras “Clique aqui para participar”.

Os e-mails são lançados de um domínio transportegov [.]net, registrado pela Amazon em 16 de agosto, diz o relatório. A data de sua criação parece sinalizar que o site foi configurado especificamente para a campanha de phishing.

Para qualquer pessoa familiarizada com sites do governo, porém, o domínio parece suspeito, visto que esses sites geralmente utilizam o sufixo .gov. No entanto, nem todos os recipientes desse e-mail farão uma leitura crítica, e, em uma passada rápida de olhos, o domínio pode parecer legítimo.

Mas embora os invasores não tenham usado nenhuma estratégia de phishing inovadora em sua campanha, foi a combinação de táticas em um novo padrão que lhes permitiu obter os e-mails por meio de gateways de e-mail seguros. O uso de domínios recém-criados, em particular, permitia que os e-mails de phishing escapassem da autenticação de e-mail padrão, ou seja, SPF, DKIM e DMARC.

Assim, a campanha passou despercebida pela maioria dos sistemas de segurança – um alerta importante no combate a ameaças em constante evolução.

Nova campanha de grupo de cibercriminosos faz mais de 5 mil vítimas

A AT&T Alien Labs descobriu uma nova campanha do grupo de ameaças TeamTNT, a qual visa diversos sistemas operacionais e aplicativos. A campanha usa uma variedade de scripts shell/batch, novas ferramentas de código aberto, um minerador de criptomoedas, o bot TeamTNT IRC e muito mais.

Além disso, pesquisa da Alien Labs indica que o servidor de comando e controle (C&C) usado na ameaça recém-descoberta contém estatísticas de infecção que sugerem que a TeamTNT está executando esta campanha desde 25 de julho de 2021 – e que ela é responsável por mais de 5 mil infecções em todo o mundo.

O grupo está usando novas ferramentas de código aberto para roubar nomes de usuário e senhas de máquinas infectadas e tem como alvo sistemas operacionais, como: Windows, diferentes distribuições Linux, AWS, Docker e Kubernetes.

Chamada de operação Chiamera, a campanha foi detalhada para o público em uma página exclusiva da AT&T Alien Labs. Entre as novas ferramentas do TeamTNT, encontram-se vários scripts que automatizam o furto de credenciais, bem como payloads, bots, e até o conhecido minerador de criptomoedas de código aberto, XMRig.

Você pode ler as informações completas aqui.

Mantenha sua empresa protegida contra qualquer tipo de ciberataque. Conheça as soluções de segurança da Compugraf e saiba como podemos te ajudar!

Compugraf

Especialista em segurança de dados e certificada por parceiros reconhecidos mundialmente, a Compugraf está pronta para proteger sua empresa na era digital.

O que procura?