Notícias de dispositivos móveis, gadgets, aplicativos Android

DangerousPassword – Hackers usam novo padrão de ataque para infectar dispositivos com malware

Recentemente, foi observado pelo JPCERT/CC que os agentes de ameaças têm como alvo ativo as trocas de criptomoedas ligadas à campanha de ataque DangerousPassword (também conhecida como CryptoMimic ou SnatchCrypto), envolvendo a distribuição de malware através de atalhos de e-mail desde junho de 2019.

Além da distribuição de malware por e-mail, vários padrões de ataque são utilizados pelos invasores para infectar alvos com malware, sendo observados quatro padrões específicos.

Aqui abaixo mencionamos esses quatro padrões de ataque: –

  • Ataques enviando arquivos CHM maliciosos do LinkedIn
  • Ataques usando arquivos do OneNote
  • Ataques usando arquivos de disco rígido virtual
  • Ataques direcionados ao macOS

Análise de padrões de ataque

A seguir, mencionamos a análise completa dos quatro padrões de ataque observados: –

Ataques enviando arquivos CHM maliciosos do LinkedIn

Os invasores empregam métodos alternativos para atingir alvos, utilizando o LinkedIn para enviar malware, onde o arquivo RAR compactado recebido contém um arquivo CHM que, após a execução, baixa e executa um arquivo MSI externo.

Senha perigosa

Após a execução, o arquivo MSI implanta um Script do PowerShell para baixar e executar outro arquivo MSI (Administrator-a214051.msi) que, por sua vez, coleta e transmite informações sobre hosts infectados por meio de solicitação HTTP POST no formato codificado em Base64.

Os pesquisadores confirmaram que contas comprometidas do LinkedIn, fazendo-se passar por fornecedores de empregos, são usadas para enviar malware aos alvos, embora o método de comprometimento de contas de redes sociais pelos invasores permaneça desconhecido.

Ataques usando arquivos do OneNote

A utilização da exploração de arquivos do OneNote para infecção por malware, observada no Emotet e em outros ataques de malware, é cada vez mais prevalente em campanhas de infecção baseadas em anexos de e-mail.

Nós recomendamos:  Você tem o que é preciso para ser um CMO?

Em consonância com outros ataques de malwareDangerousPassword emprega um arquivo OneNote contendo malware incorporado e a abertura do arquivo desencadeia a infecção.

O arquivo OneNote contém um arquivo MSI malicioso que instala uma DLL no host e a executa, ao mesmo tempo que possui a capacidade de identificar ferramentas AV.

Ao detectar específico software antivíruso malware ajusta suas ações encerrando o seguinte:-

  • Ele conecta o processo ao NTDLL para evitar o monitoramento
  • Modificando dados em comandos curl
  • Alterando o método de lançamento de malware baixado

Aqui abaixo mencionamos os programas AV: –

  • Avast
  • Avira
  • Bitdefender
  • Kaspersky
  • Sophos
  • Tendência Micro
  • Windows Defensor

Ataques usando arquivos de disco rígido virtual

De acordo com relatórioos invasores podem ocultar malware compactando-o em formatos ZIP ou RAR, incorporando-o em um arquivo ISO ou incorporando-o em um arquivo VHD, que pode ser montado em Windows SO clicando duas vezes e é comumente usado para virtualização Hyper-V.

O arquivo VHD inclui um PDF chamariz, o malware principal (DLL) e um executável (EXE) para iniciar a DLL. O arquivo DLL opera de forma semelhante ao malware do arquivo OneNote.

Ataques direcionados ao macOS

Os invasores agora têm como alvo ambos Windows e macOS utilizando um AppleScript que baixa e executa um aplicativo não autorizado por meio do arquivo main.scpt usando o comando curl.

O aplicativo executado exibe uma janela e utiliza a decodificação XOR para ler o conteúdo do arquivo, baixar um arquivo do servidor de comando e controle decodificado (C2) e, posteriormente, executá-lo.

O persistente grupo APT DangerousPassword tem como alvo as bolsas de criptomoedas no Japão, utilizando o LinkedIn como um método de contato potencial, necessitando de cautela ao interagir com plataformas de mídia social.

Nós recomendamos:  Google adiciona Pixelbook como o mais recente 'dispositivo alvo' para testar o sistema operacional Fuchsia

Além disso, os usuários do macOS devem estar vigilantes, pois os invasores podem explorar as vulnerabilidades do sistema operacional.

Construindo sua estratégia de defesa contra malware – Baixe o e-book grátis