Notícias de dispositivos móveis, gadgets, aplicativos Android

Hackers aproveitam unidades flash USB para atacar setores p√ļblicos e privados em todo o mundo

Durante o primeiro semestre de 2023, ocorreu um aumento not√°vel nos ataques que exploravam unidades USB infectadas para roubo secreto.

Enquanto as campanhas de opera√ß√£o baseadas em USB causaram a maioria dos incidentes, impactando os setores p√ļblico e privado em todo o mundo.

Analistas de segurança cibernética da Mandiant Managed Defense observaram recentemente duas campanhas de espionagem cibernética baseadas em unidades flash USB.

Os pesquisadores de seguran√ßa apelidaram as duas campanhas de: –

  • Infec√ß√£o por malware SOGU
  • Infec√ß√£o por malware SNOWYDRIVE

Fornecemos informa√ß√Ķes abrangentes sobre dois ataques baseados em USB que os hackers est√£o usando atualmente para atingir organiza√ß√Ķes p√ļblicas e privadas.

Infecção por malware SOGU

Este ataque de espionagem cibern√©tica baseado em USB √© altamente difundido, visando os setores p√ļblico e privado em todo o mundo, tornando-se uma das campanhas mais agressivas em todos os setores.

Malware SOGU carregado por meio de unidades flash USB que roubam informa√ß√Ķes confidenciais vinculadas ao ator TEMP.Hex da China, provavelmente motivado por motivos econ√īmicos e de seguran√ßa nacional, diz o relat√≥rio.

Na Europa, √Āsia e Estados Unidos, v√°rios setores enfrentam riscos decorrentes dessas opera√ß√Ķes, e aqui eles s√£o mencionados abaixo: –

  • Constru√ß√£o
  • Engenharia
  • Servi√ßos prestados √†s empresas
  • Governo
  • Sa√ļde
  • Transporte
  • Varejo
  • Entretenimento
  • Fabrica√ß√£o
  • Educa√ß√£o
  • Finan√ßa
  • Log√≠stica
  • Sem fins lucrativos
  • meios de comunica√ß√£o
  • Comunica√ß√Ķes
  • ISTO
  • Energia
  • Farmac√™utico

A unidade flash USB infectada atua como o vetor de infecção inicial, abrigando vários softwares maliciosos que acionam Sequestro de DLL para carregar uma carga maliciosa na memória.

Existem tr√™s arquivos que cont√©m a cadeia de infec√ß√£o completa e aqui eles s√£o mencionados abaixo: ‚Äď

  • Um execut√°vel leg√≠timo
  • Um carregador de DLL malicioso
  • Uma carga criptografada
N√≥s recomendamos:  Como usar a psicologia de marketing para vender mais cursos online

Ao executar o executável legítimo, ele carrega lateralmente a DLL KORPLUG, iniciando a execução do shellcode descriptografado (arquivo .dat) associado ao Porta dos fundos SOGUidentificado pela Mandiant.

Depois de colocar um arquivo em lote no caminho RECYCLE.BIN, a infec√ß√£o prossegue com o reconhecimento do host, armazenando os resultados em um arquivo chamado ‚Äúsys.info‚ÄĚ (decodificado em Base64 como c3lzLmluZm8).

O malware se disfarça como um programa genuíno, criando um diretório oculto para garantir sua presença contínua no sistema.

Para se comunicar com seu servidor de comando e controle, durante o est√°gio final do ataque, o malware exfiltra dados preparados por meio dos seguintes protocolos bin√°rios personalizados sobre TCP/UDP, ICMP:-

Infecção por malware SNOWYDRIVE

Usando unidades flash USB, esta campanha implanta o malware SNOWYDRIVE, estabelecendo um backdoor de host para execução remota de comandos, ao mesmo tempo que infecta outras unidades flash e se espalha pela rede.

UNC4698, uma amea√ßa cibern√©tica focada no petr√≥leo, foi identificada como fonte de campanha pela Mandiant. Esta campanha foi detectada pela primeira vez durante o Windows Ca√ßa √† execu√ß√£o do processo do Explorer, revelando caminhos de pastas suspeitos (por exemplo, ‚ÄúF:‚ÄĚ) frequentemente vinculados √† execu√ß√£o de malware em unidades USB.

Como vetor de infec√ß√£o inicial, a unidade flash USB infectada √© usada e a v√≠tima √© atra√≠da a clicar no arquivo malicioso disfar√ßado de execut√°vel leg√≠timo, acionando o execu√ß√Ķes maliciosas para os objetivos do atacante.

Cadeia de infec√ß√£o por malware SNOWYDRIVE (fonte ‚Äď Mandiant)

A cadeia de infec√ß√£o come√ßa com um conta-gotas execut√°vel que grava e lan√ßa arquivos maliciosos. Os execut√°veis ‚Äč‚Äče DLLs extra√≠dos dos arquivos criptografados s√£o gravados no diret√≥rio especificado:-

  • C:\Usu√°rios\P√ļblico\SymantecsThorvices\Bin

Existem quatro componentes que comp√Ķem esses arquivos, que s√£o carregados por meio do sequestro de ordem de pesquisa de DLL, cada um contendo um execut√°vel leg√≠timo e uma DLL maliciosa.

N√≥s recomendamos:  Como transmitir Fox Sports para o Chromecast

O backdoor SNOWYDRIVE gera um ID exclusivo a partir de informa√ß√Ķes do sistema para comunica√ß√£o C2, com um dom√≠nio codificado em shellcode. Embora a persist√™ncia seja alcan√ßada atrav√©s do ‚ÄúKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ushsguaei1hgba‚ÄĚ valor de registro que armazena o caminho ‚ÄúSilverlight.Configuration.exe‚ÄĚ.

O malware se duplica em unidades remov√≠veis conectadas, formando ‚Äú\Kaspersky\Usb Drive\3.0‚ÄĚE armazenando arquivos maliciosos criptografados. O execut√°vel extra√≠do ‚Äúaweu23jj46jm7dc‚ÄĚ grava em .exe, lidando com a descriptografia e execu√ß√£o do conte√ļdo do arquivo.

As organiza√ß√Ķes s√£o fortemente incentivadas a priorizar as restri√ß√Ķes de acesso a dispositivos externos, como unidades USB, ou a realizar verifica√ß√Ķes completas em busca de arquivos maliciosos antes da conex√£o de rede.

Table of Contents