Zero Day do Windows Follina é explorado para infectar PCs com o Qbot

Zero Day do Windows Follina é explorado para infectar PCs com o Qbot. Malware de roubo de dados também emparelhado com a gangue de ransomware Black Basta.

A vulnerabilidade “Follina” na Microsoft Support Diagnostic Tool (MSDT) afeta todas as versões do Windows atualmente com suporte e pode ser acionada por meio de documentos do Office especialmente criados.

Os criminosos estão explorando a falha crítica de dia zero do Windows Follina recentemente divulgada para infectar PCs com o Qbot, expandindo agressivamente seu alcance.

Os operadores do bot também estão trabalhando com a gangue Black Basta para espalhar ransomware em mais uma parceria no mundo subterrâneo do crime cibernético.

Essa combinação de exploração do Follina e seu uso para extorquir organizações torna o malware uma ameaça ainda maior para as empresas. O Qbot começou como um software desagradável que invadia as contas bancárias online das pessoas e evoluiu para bisbilhotar as teclas do usuário e roubar informações confidenciais das máquinas. Ele também pode entregar outras cargas de malware, como backdoors e ransomware, em sistemas Windows infectados e forma uma botnet controlável remotamente.

Threat Insight, parte do fornecedor de segurança cibernética Proofpoint, observou no Twitter que criminosos foram vistos explorando a falha Follina, rastreada como CVE-2022-30190 , na Ferramenta de diagnóstico de suporte do Windows para entregar o Qbot, também conhecido como QakBot, QuakBot e Pinkslipbot , nos computadores das vítimas.

A Microsoft no final do mês passado reconheceu a falha de segurança e disse que uma correção oficial está sendo trabalhada. Ladrões e bisbilhoteiros têm explorado a vulnerabilidade em estado selvagem para atingir, por exemplo, agências governamentais nos EUA e na Europa. O equipamento chinês TA413 está usando o Follina para atacar os tibetanos também.

De acordo com a Proofpoint, uma equipe identificada como TA570 explora a vulnerabilidade em campanhas de phishing ao seqüestrar um encadeamento de e-mail – uma tática conhecida usada por aqueles que distribuem o Qbot – e fazer com que as vítimas abram um anexo HTML que salva um arquivo .zip. Este arquivo contém um arquivo de imagem de disco que contém uma DLL, um documento do Word e um arquivo de atalho .LNK.

O LNK executará a DLL para iniciar o Qbot. O documento carregará e executará um arquivo HTML contendo o PowerShell abusando do CVE-2022-30190 usado para baixar e executar o Qbot”, escreveram os pesquisadores.

Um caçador de ameaças com o identificador ExecuteMalware no Twitter alegou ter observado afiliados da Qbot enviando um arquivo .iso, em vez de um .img, que também contém a DLL, o documento do Word e o atalho. ExecuteMalware também publicou uma lista de sinais de comprometimento.

Follina é uma vulnerabilidade de execução remota de código (RCE) na ferramenta de diagnóstico de suporte da Microsoft; isso pode ser explorado fazendo com que um aplicativo, como o Word, chame a ferramenta a partir de um documento especialmente criado quando aberto. Se for bem-sucedido, o invasor pode executar código arbitrário com os privilégios do aplicativo e, assim, executar programas, excluir ou roubar informações e assim por diante.

Enquanto está trabalhando em uma correção adequada, a Microsoft publicou algumas etapas possíveis para mitigar a exploração.

O Qbot entrou em cena pela primeira vez em 2007. Ele pode roubar informações bancárias, credenciais do Windows, informações pessoais e dados financeiros. O fornecedor de segurança cibernética Kaspersky disse em abril que estava vendo um aumento na atividade em relação a esse software desagradável: uma campanha de e-mail de spam que estava espalhando malware Qbot e Emotet e visando corporações.

O botnet Qbot pode ser usado por aqueles com acesso a ele para arruinar o mês ou ano de uma vítima, e as gangues de ransomware podem explorar o malware para obter acesso às organizações e se espalhar lateralmente antes de exfiltrar dados e embaralhar arquivos.

Os demônios por trás do Qbot têm sido particularmente agressivos ao cortejar essas parcerias com extorsionários. Em uma postagem de blog no ano passado detalhando a aliança dos operadores do Qbot com o notório grupo de ransomware REvil, analistas da empresa de segurança cibernética AdvIntel escreveram que não é incomum que grupos de malware formem um pacto com um ou dois ransomware-as-a-service (RaaS). ), mas acrescentou que “o QBot difere desse padrão, pois desde o início eles visavam expansões massivas de parceria“.

Em outras palavras, quando outros botnets tinham apenas uma ligação no lado do ransomware, o QBot tinha muitos”, escreveram eles. “Por exemplo – Dridex tinha DopplePaymer, botnet TrickBot tinha Ryuk, Zloader tinha DarkSide, etc. Ao mesmo tempo, QBot tinha Egregor, ProLock, LockerGoga, Mount Locker e outros coletivos de ransomware. Portanto, era uma questão de tempo quando eles se envolveram com o REvil.

Agora, os controladores do Qbot estão trabalhando com o Black Basta, uma equipe de ransomware que apareceu em abril e atacou agressivamente uma série de corporações e organizações, incluindo a American Dental Association. O Black Basta usa métodos de dupla extorsão, roubando os dados da vítima antes de criptografá-los e ameaçando publicar as informações no Black Basta Blog ou no site Basta News Tor-hidden se o resgate não for pago.

Pesquisadores da empresa de garantia de informações NCC Group disseram esta semana que, durante uma investigação sobre uma recente infecção por ransomware, eles notaram que o grupo Black Basta por trás do ataque estava usando o malware Qbot para se mover lateralmente pela rede da vítima. Em uma postagem no blog , a NCC escreveu que o Qbot foi usado para criar remotamente um serviço temporário no sistema de destino, que foi configurado para executar uma DLL do Qbot.

O Qakbot foi o principal método utilizado pelo agente da ameaça para manter sua presença na rede”, escreveram eles. “O agente da ameaça também foi observado usando beacons Cobalt Strike durante o comprometimento.

Uma vez dentro do sistema, o malware Black Basta pega os endereços IP de todos os hosts na rede, desativa o Windows Defender, exclui os backups da Veeam dos servidores Hyper-V e, em seguida, envia o ransomware.

Garret Grajek, CEO da empresa de identidade baseada em nuvem YouAttest, disse ao The Register que o que é importante lembrar é a colaboração e integração de grupos e componentes de crimes cibernéticos.

Um grupo descobre a vulnerabilidade, outro cria a exploração e ainda outro equipa o centro C2 (comando e controle) para receber a comunicação do host infectado“, disse Grajek.

A seriedade e a eficiência da colaboração não podem ser subestimadas. As empresas devem implementar novos conceitos como confiança zero e implementar uma governança de identidade rigorosa para saber quais permissões concederam a todas as contas e observar quaisquer alterações“.

Fonte: The Register

Veja também:

Sobre mindsecblog 1767 Artigos
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

Seja o primeiro a comentar

Deixe sua opinião!