Notícias de dispositivos móveis, gadgets, aplicativos Android

Novo SectopRAT rouba senhas de navegador e códigos 2FA

LummaC, um ladr√£o de informa√ß√Ķes, est√° sendo disseminado em f√≥runs de l√≠ngua russa por meio de uma abordagem de Malware como Servi√ßo (MaaS). Os dados confidenciais dos dispositivos afetados devem ser roubados por este malware.

Carteiras de criptomoeda, complementos de navegador, credenciais de autenticação de dois fatores e vários arquivos são alguns dos dados visados.

Recentemente, Cyble Research & Intelligence Labs (CRIL) descobriu uma estratégia de ponta para divulgação do SectopRAT.

SectopRAT é um arquivo . Malware de acesso remoto baseado em NET. Ele possui uma ampla gama de recursos, incluindo roubo de dados do navegador e detalhes de carteiras de criptomoedas.

Este m√©todo envolve recuperar o malware bot Amadey do ladr√£o LummaC e us√°-lo para entregar a carga √ļtil do SectopRAT.

A Cadeia de Ataque

O LummaC Stealer foi espalhado principalmente por meio de e-mails de spear-phishing e sites de phishing que parecem ser fornecedores de software legítimos.

No passado, o ladr√£o LummaC se espalhava por meio de sites fraudulentos, como aqueles que vendiam produtos falsos. Su√≠te Microsoft Sysinternals. E-mails de spear-phishing tamb√©m foram usados ‚Äč‚Äčpara atingir YouTubers. Ele se espalhou ainda mais fingindo ser cracks ilegais de software.

Os pesquisadores encontram arquivos ZIP que parecem conter o malware ladrão LummaC à solta. Através de um YouTube campanha disfarçando-os como arquivos de configuração de software, esses arquivos estão circulando.

Esses arquivos parecem ter sido rotulados para atrair os usu√°rios e induzi-los a executar o malware que carregam.

As informa√ß√Ķes dos TAs indicam que LummaC2 √© um ladr√£o de pr√≥xima gera√ß√£o com alta taxa de sucesso. Notavelmente, ele funciona de forma eficiente, sem qualquer depend√™ncia de sistemas limpos.

N√≥s recomendamos:  Como desinstalar o aplicativo Adaware Web Companion de Windows

Um de seus componentes essenciais é a descriptografia de log baseada em servidor. Cerca de 70 criptomoedas baseadas em navegador e complementos 2FA estão incluídos na experiência da LummaC2 em roubo de dados de navegadores derivados do Chromium e do Mozilla.

Em 2018, foi descoberta a fam√≠lia de malware conhecida como ‚ÄúAmadey Bot‚ÄĚ. Ele pode realizar a√ß√Ķes que incluem investigar sistemas infectados, adquirir informa√ß√Ķes e carregar mais cargas maliciosas.

Ele foi usado por TAs para introduzir v√°rios tipos de malware, como o Trojan de acesso remoto Flawed Ammyy (RAT) e o ransomware GrandCrab.

SectopRAT roubando senhas de navegador, códigos 2FA

O Trojan de acesso remoto (RAT) SectopRAT, tamb√©m conhecido como Arechclient, foi criado usando o compilador .NET. Ele oferece uma ampla gama de funcionalidades, como roubo de informa√ß√Ķes do navegador e da carteira Bitcoin.

Ele pode criar uma √°rea de trabalho secund√°ria oculta que utiliza para gerenciar e monitorar as sess√Ķes do navegador.

Notavelmente, o SectopRAT possui técnicas anti-VM e anti-emulador que são projetadas para dificultar a análise de malware.

‚ÄúO malware come√ßa a escanear os diret√≥rios do sistema alvo. O objetivo √© recuperar dados confidenciais de arquivos como ‚ÄúCookies‚ÄĚ, ‚ÄúEstado local‚ÄĚ, ‚ÄúDados de login‚ÄĚ e ‚ÄúDados da Web‚ÄĚ, explicam os pesquisadores.

‚ÄúEsses arquivos s√£o provenientes de uma variedade diversificada de mais de 35 navegadores da web, plataformas de jogos e outros aplicativos de software que foram instalados no sistema comprometido‚ÄĚ.

O malware pode extrair informa√ß√Ķes de extens√Ķes de navegador de carteiras de criptomoedas, al√©m de pastas espec√≠ficas por meio das quais pode acessar carteiras de criptomoedas.

Conseq√ľentemente, um novo n√≠vel de complexidade de amea√ßas cibern√©ticas foi revelado pela identifica√ß√£o da alian√ßa LummaC-Amadey-SectopRAT. Esta cadeia de ataque planeada demonstra como os hackers evolu√≠ram as suas estrat√©gias, desde a recolha de dados at√© √† dissemina√ß√£o da carga √ļtil.

N√≥s recomendamos:  O propriet√°rio do Tile, ‚ÄėLife360‚Äô, est√° vendendo dados de localiza√ß√£o do usu√°rio

Mantenha-se informado sobre as √ļltimas not√≠cias sobre seguran√ßa cibern√©tica seguindo-nos no Not√≠cias do Google, Linkedin, Twittere Facebook.

Table of Contents