Especialistas em segurança cibernética da Trend Micro descobriram recentemente uma nova campanha maliciosa, por meio da qual os agentes de ameaças podem capturar ou infectar suas vítimas com suas diversas cargas sofisticadas.
Esta nova campanha maliciosa é intitulada “Operação Overtrap” e os analistas afirmam que os atacantes estão a usar o ataque em três frentes nesta campanha. Nesta campanha, eles visam e roubam principalmente as credenciais bancárias dos usuários do Japão.
Desde abril de 2019, esta campanha maliciosa, “Operação Overtrap”, está ativa e infecta apenas usuários japoneses para roubar suas credenciais bancárias.
De acordo com a Trend Micro relatórioos atores da ameaça usam três vetores de ataque nesta campanha para espalhar os seguintes itens para roubar credenciais bancárias:-
- Kit de exploração de garrafas
- Trojan bancário Cinobi
Vetores de ataque usados
O relatório de análise da Trend Micro afirma que os seguintes vetores de ataque são usados pelos invasores para espalhar a infecção: –
- E-mails de spam são usados com um link de phishing mascarado como um site bancário.
- As vítimas são solicitadas a executar um executável malicioso baixado da página de phishing vinculada que foi enviada por e-mail de spam.
- Os atores da ameaça entregam o malware por meio de malvertising usando uma exploração personalizada.
Kit de exploração de garrafas
Inicialmente, este malicioso Bottle Exploit Kit (BottleEK) foi observado pelos analistas de segurança em 29 de setembro de 2019; e detectaram que os invasores entregaram um novo e complexo trojan bancário, conhecido como “Cinobi”, em vez de descartar um arquivo limpo.
Nesta campanha para divulgar e promover este “Kit de exploração de garrafas”, os atores da ameaça usaram uma campanha de malvertising direcionada apenas a usuários do Japão.
Os invasores usaram o Bottle Exploit Kit (BottleEK) para entregar o trojan bancário “Cinobi”, explorando duas falhas de segurança, e aqui elas são mencionadas abaixo:-
- CVE-2018-15982: Um uso do Flash Player após vulnerabilidade gratuita
- CVE-2018-8174: Uma vulnerabilidade de execução remota de código VBScript
Trojan bancário Cinobi
Os atores da ameaça usaram o trojan bancário Cinobi nesta campanha, e os pesquisadores de segurança afirmaram que o tojan bancário usado na Operação Overtrap tem duas versões.
- A primeira versão do Cinobi oferece uma carga útil de injeção de biblioteca DLL e também tem a capacidade de modificar o tráfego da web.
- A segunda versão do Cinobi oferece a capacidade de alterar as páginas acessadas usando a função web inject. Este segundo carrega todas as habilidades que o primeiro oferece, além de também ter a capacidade de se comunicar através do proxy Tor com um servidor de comando e controle (C&C).
Mitigações
Uma variedade de vetores de ataque são usados para roubar as credenciais bancárias nesta campanha “Operação Overtrap” pelos invasores. É por isso que os especialistas da Trend Micro recomendam fortemente aos usuários e organizações que:-
- Adote as melhores práticas de segurança para defender a si e aos seus sistemas contra tais ataques.
- As equipes de TI nas organizações devem ter um sistema centralizado de coleta de informações.
- As organizações devem treinar os seus funcionários para torná-los conscientes de tais ameaças e denunciar quaisquer atividades suspeitas.
- As organizações devem atualizar regularmente os seus sistemas para evitar que os atacantes tirem partido de quaisquer falhas de segurança.
- As organizações devem usar ferramentas de segurança e firewalls de nível empresarial.
Assim, seguindo as mitigações mencionadas acima, uma organização ou usuário poderia facilmente impedir que os atores da ameaça explorassem quaisquer falhas de segurança; e proteger suas redes.
Você pode nos seguir em Linkedin, Twitter, Facebook para segurança cibernética diária e atualizações de notícias sobre hackers.
