Notícias de dispositivos móveis, gadgets, aplicativos Android

Ex-Conti e FIN7 Hackers se unem para desenvolver malware Domino Backdoor

A equipe X-Force da IBM encontrou recentemente uma nova fam√≠lia de malware conhecida como ‚ÄúDomino‚ÄĚ, criada pelo ITG14, tamb√©m conhecido como FIN7, um not√≥rio grupo de criminosos cibern√©ticos.

ITG23, uma gangue Trickbot/Conti monitorada pela X-Force, tem implantado o malware rec√©m-descoberto, ‚ÄúDomino‚ÄĚ, desde fevereiro de 2023.

Os ex-membros deste grupo t√™m usado isso para distribuir software de roubo de informa√ß√Ķes:-

  • Projeto N√™mesis
  • Golpe de Cobalto

Os recentes ataques cibernéticos utilizando o Dave Loader para injetar o Domino Backdoor estão possivelmente ligados a ex-membros do ITG23.

A nova família de malware provavelmente foi obtida e usada por esses indivíduos em colaboração com desenvolvedores atuais ou antigos do ITG14.

Aqui Dave √© um carregador desenvolvido pelos membros do Trickbot/Conti. Embora se acredite que seja composto por ex-membros do sindicato Trickbot/Conti, a saber: –

Especialistas em seguran√ßa cibern√©tica tamb√©m descoberto que amostras de Dave est√£o sendo usadas para carregar o novo malware chamado ‚ÄúDomino Backdoor‚ÄĚ.

Porta dos fundos do dominó

Com este novo backdoor, √© poss√≠vel coletar informa√ß√Ķes sobre o sistema no n√≠vel prim√°rio.

Em seguida, ele transmite os dados coletados para o C2 e recebe uma carga criptografada com AES.

Este backdoor √© totalmente capaz de coletar informa√ß√Ķes sobre o sistema.

Em seguida, ele transmite os dados coletados para o C2 e recebe uma carga criptografada com AES.

Pesquisadores de seguran√ßa cibern√©tica detectaram recentemente beacons Cobalt Strike implantados por este carregador com a marca d‚Äô√°gua ‚Äė206546002‚Äô.

Esta marca d’√°gua foi observada anteriormente em ataques de ransomware por ex-membros do Conti durante as opera√ß√Ķes Royal and Play.

Domino Backdoor √© principalmente uma DLL de 64 bits, e os dados do sistema que ele coleta s√£o como: ‚Äď

  • Processos em execu√ß√£o
  • Nomes de usu√°rio
  • Nomes de computadores
N√≥s recomendamos:  Hacker usa an√ļncios do Google e do Bing para fornecer ferramentas de TI armadas

Ap√≥s a instala√ß√£o do backdoor, o Domino Loader baixa um ladr√£o de informa√ß√Ķes incorporado constru√≠do em .NET, ‘Nemesis Project’, que √© ent√£o executado.

O Project Nemesis pode facilmente coletar credenciais das seguintes fontes onde est√£o armazenadas:

  • Navegadores
  • Formul√°rios
  • Carteiras de criptomoeda
  • Hist√≥rico do navegador

Colaboração de ex-membros do Conti e FIN7

Os cibercriminosos estão sempre em busca de novas oportunidades e não é surpresa que os agentes de ameaças de ransomware frequentemente colaborem com outros grupos para disseminar o malware.

As coisas estão ficando obscuras no mundo da segurança cibernética! Com o passar do tempo, fica cada vez mais difícil distinguir entre desenvolvedores de malware e gangues de ransomware.

As √ļltimas descobertas da IBM lan√ßaram luz sobre uma descoberta emocionante. Aparentemente, o carregador ‚ÄėNewWorldOrder‚Äô, geralmente associado aos ataques Carbanak do FIN7, foi usado para espalhar o malware Domino.

Descobriu-se que Dave Loader estava espalhando o malware Domino, que ent√£o instala beacons Project Nemesis ou Cobalt Strike que se acredita estarem ligados √†s a√ß√Ķes de ransomware de um ex-membro do grupo Conti.

√Č um desafio rastrear os agentes de amea√ßas quando eles usam malware vinculado a v√°rios grupos em uma campanha. Pois mostra claramente o qu√£o complicado pode ser.

Leia também

Hackers APT chineses usando vers√Ķes personalizadas do Cobalt Strike para implantar malware backdoor

Hackers que abusam de portas RDP abertas para acesso remoto usando Windows Malware de backdoor

Grupo chinês de hackers APT usando o antigo Windows Logotipo para ocultar um malware backdoor

Hackers TA505 APT lançam malware backdoor ServHelper por meio de documentos Excel armados