Hackers usam protetor de tela em ataques

Hackers usam protetor de tela em ataques. Atores de ameaças usam arquivos de proteção de tela do Windows como método de distribuição de malware

Especialistas em segurança cibernética da Symantec descobriram uma campanha sofisticada de phishing direcionada a vários setores em vários países, aproveitando o formato de arquivo do protetor de tela do Windows (.scr) como um vetor para distribuição de malware .

Esse método, embora aparentemente inócuo, permite que invasores executem códigos maliciosos disfarçados de um arquivo de proteção de tela inofensivo.

Visão geral da campanha

A campanha, observada pela Symantec, envolve agentes de ameaças se passando por uma respeitável empresa de logística taiwanesa.

Os e-mails de phishing, escritos em chinês, pretendem fornecer atualizações sobre remessas internacionais, visando especificamente destinatários com uma notificação logística fictícia.

A linha de assunto do e-mail diz: “//AMD ISF + AMD BL DRAFT // 聯盛 – 裝船通知單 – 4/7 結關 KAO TO ATLANTA,GA VIA NYC CFS【友鋮】SO.N023,” e solicita a verificação dos detalhes do envio junto com os documentos que o acompanham.

Entrega de carga maliciosa

Anexado a esses e-mails está um arquivo malicioso intitulado “景大 台北港ISF (032525) – fatura# JN-032525C – KAO TO ATLANTA,GA VIA NYC CFS【友鋮】SO.N023.xlsx.rar.”

Dentro deste arquivo há um arquivo .SCR que, quando executado, implanta o ModiLoader, um carregador de malware baseado em Delphi conhecido por sua versatilidade na implantação de vários tipos de malware.

Este carregador foi observado distribuindo ameaças como Remcos, Agent Tesla, MassLogger, AsyncRAT e Formbook, entre outros.

A campanha tem como alvo uma gama diversificada de setores, incluindo fabricação de máquinas industriais, publicação, radiodifusão, fabricação automotiva, eletrônicos, fabricação de produtos adesivos, conglomerados (automotivos, aeroespaciais), varejo de louças sanitárias, fabricação de produtos abrasivos e indústrias de parques temáticos.

Os países afetados incluem Japão, Reino Unido, Suécia, Estados Unidos, Hong Kong, Taiwan, Tailândia e Malásia.

A Symantec implementou diversas medidas de proteção para mitigar essa ameaça:

• Baseado em adaptável : Identificados como ACM.Untrst-RunSys!g1, os mecanismos de proteção adaptável da Symantec são projetados para detectar e bloquear tais ameaças.
• Baseado em Carbon Black : os produtos VMware Carbon Black têm políticas para bloquear todos os tipos de malware, incluindo programas conhecidos, suspeitos e potencialmente indesejados (PUPs), com uma recomendação para atrasar a execução da varredura na nuvem para aproveitar o serviço de reputação.
• Baseado em e-mail : os produtos de segurança de e-mail da Symantec e a tecnologia Email Threat Isolation (ETI) fornecem uma camada adicional de defesa contra tentativas de phishing.
• Baseado em arquivo : o malware é detectado como Trojan.Gen.MBT e Scr.Malcode!gen19, garantindo que arquivos maliciosos sejam identificados e bloqueados.
• Baseado em aprendizado de máquina : Heur.AdvML.B é usado para detectar ameaças avançadas baseadas em aprendizado de máquina.

Esta campanha destaca a evolução contínua das ameaças cibernéticas, onde os invasores continuam a explorar formatos de arquivo aparentemente benignos para distribuir malware sofisticado.

As organizações são incentivadas a permanecerem vigilantes, atualizarem suas medidas de segurança e educarem os funcionários sobre os riscos associados à abertura de anexos inesperados, mesmo que pareçam vir de fontes legítimas.

Fonte: GBHackers

Veja também:

• Documentos PDF são as novas armas dos cibercriminosos
• Segurança na Gestão de Dados Potencializada por IA
• Em 56% dos casos de IR e MDR não houve invasão
• Ataque sofisticado explora vulnerabilidade no Chorme
• Segurança e observabilidade na era da nuvem
• Apple multada em € 150 milhões
• Vazamento no X expõe 2,8 bilhões de registros
• Backups precisam ser resilientes
• Phishing-as-a-Service revelado
• Novo golpe de phishing no Instagram
• Hacker vaza dados de clientes da Samsung
• senhasegura agora é Segura®