Microsoft alerta empresas de aviação e viagens para campanha RAT

Microsoft alerta empresas de aviação e viagens para campanha RAT. A Microsoft está alertando os setores aeroespacial e de viagens sobre uma nova campanha de ataque direcionado que visa roubar informações confidenciais das empresas afetadas.

A campanha está colhendo capturas de tela, pressionamentos de tecla, credenciais, feeds de webcam, dados de navegador e área de transferência e muito mais, com cargas úteis RevengeRAT ou AsyncRAT.

Uma campanha de ataque cibernético que persegue alvos da aviação foram descobertos, que está espalhando malware trojan de acesso remoto (RAT) voltado para a espionagem cibernética.

A Microsoft disse que estava rastreando a “campanha dinâmica” por vários meses por meio de uma série de e-mails de spear-phishing projetados para entregar um “carregador desenvolvido ativamente”.

A captura de tela postada no feed do Twitter do Microsoft Security Intelligence era de um e-mail de phishing falsificando uma organização legítima e solicitando um orçamento para um fretamento de carga.

Uma imagem simulando como um arquivo PDF contém um link embutido (normalmente abusando de serviços legítimos da web) que baixa um VBScript malicioso, que elimina as cargas de RAT”, explicou.

Essas cargas úteis são RevengeRAT ou AsyncRAT. “Os RATs se conectam a um servidor C2 hospedado em um site de hospedagem dinâmico para se registrar com os invasores e, em seguida, usam um PowerShell codificado em UTF-8 e técnicas sem arquivo para baixar três estágios adicionais de pastebin [.] Com ou sites semelhantes”, Disse a Microsoft.

Os cavalos de Tróia continuamente re-executam componentes até que eles sejam capazes de injetar em processos como RegAsm, InstallUtil ou RevSvcs. Eles roubam credenciais, capturas de tela e dados de webcam, dados de navegador e área de transferência, sistema e rede, e exfilam dados frequentemente via porta SMTP 587.

O carregador que descarta os RATs foi identificado pela Morphisec como um crypter-as-a-service “altamente sofisticado” apelidado de “Snip3”.

Ele apresenta vários métodos de contornar a detecção por ferramentas de segurança, incluindo: o uso de Pastebin e top4top para teste; reconhecimento de Windows Sandbox e virtualização VMWare; executar o código do PowerShell com o parâmetro “remotesigned”; e compilar carregadores RunPE no nó de extremidade em tempo de execução.

A Microsoft afirmou que seu produto 365 Defender detecta vários componentes do ataque, mas pediu que as organizações nos setores-alvo verifiquem se foram afetados. Ele publicou uma lista de hunting queries para que as organizações possam verificar atividades semelhantes, e-mails, implantes e outros indicadores de ataque.

Sobre mindsecblog 2401 Artigos
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

2 Trackbacks / Pingbacks

  1. Milhões colocados em risco por roteadores antigos e desatualizados
  2. Ransomware Task Force (RTF) lança Framework contra Ransomware

Deixe sua opinião!

HTML Snippets Powered By : XYZScripts.com