Empresa de Energia colombiana e de metal estão sob ataque em nova onda de Trojans
Uma onda de ataques contra empresas na Colômbia usa um trio de cavalos de Tróia de acesso remoto (RATs) para roubar dados confidenciais.
A campanha, batizada de Operação Spalax , foi revelada por pesquisadores da ESET na terça-feira.
Em uma postagem de blog, a empresa de segurança cibernética disse que o governo e entidades privadas da Colômbia estão sendo visados exclusivamente pelos atores da ameaça, que parecem ter um interesse particular nas indústrias de energia e metalúrgica.
A ESET começou a rastrear a campanha, que está em andamento, na segunda metade de 2020, quando pelo menos 24 endereços IP – dispositivos provavelmente comprometidos atuando como proxies para os servidores de comando e controle (C2) dos invasores – foram vinculados a uma enxurrada de ataques.
Para iniciar a cadeia de infecção contra uma entidade alvo, os atores da ameaça usam um método tradicional: e-mails de phishing. Os assuntos dessas mensagens fraudulentas variam de demandas para comparecimento a audiências judiciais a avisos de congelamento de contas bancárias e notificações para fazer um teste COVID-19 obrigatório.
Em algumas amostras, agências incluindo o Gabinete do Procurador-Geral (Fiscalia General de la Nacion) e a Direcção Nacional de Impostos e Alfândegas (DIAN) foram falsificadas.
Cada e-mail tem um arquivo .PDF anexado, vinculando a um arquivo .RAR. Se a vítima baixar o pacote – localizado no OneDrive, MediaFire e outros serviços de hospedagem – um arquivo executável dentro do malware dispara.
Os atores da ameaça usam uma seleção de droppers e packers para implantar as cargas de Trojan, com o objetivo de todos executar um RAT injetando-o em um processo legítimo.
As três cargas úteis estão disponíveis comercialmente e não foram desenvolvidas internamente pelos ciberataques.
O primeiro é Remcos, malware disponível em fóruns clandestinos por apenas US $ 58 . O segundo RAT é o njRAT, um cavalo de Troia detectado mais recentemente em campanhas que usam o Pastebin como alternativa às estruturas C2, e o terceiro é o AsyncRAT, uma ferramenta de administração remota de código aberto.
“Não há uma relação um-para-um entre conta-gotas e cargas úteis, pois vimos diferentes tipos de conta-gotas executando a mesma carga útil e também um único tipo de conta-gotas conectado a diferentes cargas”, observa a ESET. “No entanto, podemos afirmar que os droppers NSIS geralmente descartam Remcos, enquanto os empacotadores Agent Tesla e AutoIt normalmente descartam njRAT.”
Os RATs são capazes de fornecer controle de acesso remoto aos agentes da ameaça e também conter módulos para keylogging, captura de tela, coleta de conteúdo da área de transferência, exfiltração de dados e download e execução de malware adicional, entre outras funções.
De acordo com a ESET, não há pistas concretas para atribuição, no entanto, existem algumas sobreposições com APTC36, também conhecido como Águia Cega. Este APT foi conectado a ataques em 2019 contra entidades colombianas com o objetivo de roubar informações confidenciais.
O uso de serviços DNS dinâmicos pelo invasor significa que a infraestrutura da campanha também muda constantemente, com novos nomes de domínio sendo registrados para uso contra empresas colombianas regularmente.
A ESET também observou links para pesquisas conduzidas pela Trend Micro em 2019 . As táticas de phishing são semelhantes, mas enquanto o relatório da Trend Micro se refere à espionagem e, potencialmente, ao direcionamento de contas financeiras, a ESET não detectou qualquer uso de cargas além da ciberespionagem. No entanto, a empresa reconhece que alguns dos alvos da campanha atual – incluindo uma agência de loteria – não parecem fazer sentido lógico apenas para atividades de espionagem.
A empresa de segurança cibernética acrescentou que, devido à infraestrutura grande e em rápida mudança desta campanha, devemos esperar que esses ataques continuem na região em um futuro próximo.
Fonte: https://www.zdnet.com/