Microsoft alerta empresas de aviação e viagens para campanha RAT. A Microsoft está alertando os setores aeroespacial e de viagens sobre uma nova campanha de ataque direcionado que visa roubar informações confidenciais das empresas afetadas.
A campanha está colhendo capturas de tela, pressionamentos de tecla, credenciais, feeds de webcam, dados de navegador e área de transferência e muito mais, com cargas úteis RevengeRAT ou AsyncRAT.
Uma campanha de ataque cibernético que persegue alvos da aviação foram descobertos, que está espalhando malware trojan de acesso remoto (RAT) voltado para a espionagem cibernética.
A Microsoft disse que estava rastreando a “campanha dinâmica” por vários meses por meio de uma série de e-mails de spear-phishing projetados para entregar um “carregador desenvolvido ativamente”.
A captura de tela postada no feed do Twitter do Microsoft Security Intelligence era de um e-mail de phishing falsificando uma organização legítima e solicitando um orçamento para um fretamento de carga.
“Uma imagem simulando como um arquivo PDF contém um link embutido (normalmente abusando de serviços legítimos da web) que baixa um VBScript malicioso, que elimina as cargas de RAT”, explicou.
Essas cargas úteis são RevengeRAT ou AsyncRAT. “Os RATs se conectam a um servidor C2 hospedado em um site de hospedagem dinâmico para se registrar com os invasores e, em seguida, usam um PowerShell codificado em UTF-8 e técnicas sem arquivo para baixar três estágios adicionais de pastebin [.] Com ou sites semelhantes”, Disse a Microsoft.
“Os cavalos de Tróia continuamente re-executam componentes até que eles sejam capazes de injetar em processos como RegAsm, InstallUtil ou RevSvcs. Eles roubam credenciais, capturas de tela e dados de webcam, dados de navegador e área de transferência, sistema e rede, e exfilam dados frequentemente via porta SMTP 587. ”
O carregador que descarta os RATs foi identificado pela Morphisec como um crypter-as-a-service “altamente sofisticado” apelidado de “Snip3”.
Ele apresenta vários métodos de contornar a detecção por ferramentas de segurança, incluindo: o uso de Pastebin e top4top para teste; reconhecimento de Windows Sandbox e virtualização VMWare; executar o código do PowerShell com o parâmetro “remotesigned”; e compilar carregadores RunPE no nó de extremidade em tempo de execução.
A Microsoft afirmou que seu produto 365 Defender detecta vários componentes do ataque, mas pediu que as organizações nos setores-alvo verifiquem se foram afetados. Ele publicou uma lista de hunting queries para que as organizações possam verificar atividades semelhantes, e-mails, implantes e outros indicadores de ataque.
Fonte: InfoSecurity Magazine & Threat Post
Veja também:
- Milhões de dispositivos Dell vulneráveis à atualização de falha de driver
- Intel, AMD disputam descobertas sobre vulnerabilidades de chips
- Empresa de oleoduto dos EUA é atacada por ransomware
- 3,2 bilhões de senhas vazadas contêm 1,5 milhão de registros com e-mails governamentais
- Sophos lança XDR: única solução da indústria que sincroniza endpoint nativo, servidor, firewall e segurança de e-mails
- Custo de recuperação de ransomware pode chegar a US$2 Milhões
- Conteúdo Segurança Cibernética online gratuito e de baixo custo
- Microsoft alerta sobre 25 vulnerabilidades críticas em IoT
- Falha no F5 Big-IP permite acesso ao Access Policy Manager
- Hackers estão explorando links Discord e Slack para distribuir malware
- TJRS é atacado com Ransomware REvil com resgate de US$ 5 Milhões
- Reconhecimento Facial é polêmica e contrária à Privacidade
Deixe sua opinião!