Resumo dos casos de Cyber Attacks - de Fevereiro, 2019

Fevereiro pode ser um mês curto, mas isso não fez com que os cybercriminals deixassem de aproveitar o momento e comprometerem um total de 692,853,046 arquivos (que foram registrados). Isso traz o total desse ano para 2,462,038,109. Os Cyberattacks foram os já comuns uso de Ransomware e roubo de dados, incluindo informações financeiras que foram roubadas.

O lado positivo é que o notório GrandCram ransomware poderá vir a ser coisa do passado antes do que se esperava. A polícia romena, em colaboração com uma empresa de segurança da internet e a Europol, trabalhando também com as polícias da Áustria, Bélgica, Chipre, França, Alemanha, Itália, Holanda, Reino Unido, Canadá, bem como FBI, desenvolveram uma ferramenta de decodificação, que permitirá às vítimas recuperarem seus arquivos e dados sem pagamento de resgate.

Vamos olhar com mais detalhes o malware utilizado durante os ataques em Fevereiro desse ano.

Pela primeira vez, um clipper malware foi utilizado na loja Google Play. Ele foi detectado pela primeira vez em 2017 numa plataforma Windows, e agora se espalhou para a loja oficial Android.

  • Donos de carteiras de cryptocurrency online, normalmente não digitam seus endereços, compostos de longas linhas de caracteres, e sim fazem um cópia e cola desses endereços em seus clipboards.
  • O malware clipper substitui os endereços das carteiras do Bitcoin ou o Ethereum copiados no clipboard com outro que pertence ao invasor
  • O invasor agora tem total acesso a carteira

Em fevereiro, os italianos foram vítimas de um ataque direcionado de phishing esteganográfico, com um método de phishing que pedia pagamentos que foram usados na Itália com muita frequência nos últimos dois anos.

  • Um e-mail era enviado em italiano com um pedido de pagamento
  • O e-mail continha um documento anexo malicioso “F.DOC.2019 A 259 SPA.xls”.
  • Uma vez aberto, era pedido ao usuário que habilitasse o conteúdo para que pudesse ver o arquivo
  • Uma que o conteúdo era habilitado, a macro checava se o computador estava configurado para uso na Itália (If Application.International(xlcountrySetting) = 39 Then VKlever = Shell#(Document, xlAccounting2 – 5) Else Application.Quit)
  • Se a macro identificasse que o computador não estava na Itália, a planilha era fechada e não acontecia nada.
  • Se a macro confirmasse que o computador estava na Itália, uma imagem do Mario era baixada.
  • Uma vez baixada, o script extraía diversos pixels da imagem para reconstruir um comando PowerShell.
  • Uma vez executado, o comando PowerShell baixava o Ursnif banking Trojan.

Fora a utilização de imagens estenográficas, os invasores também usavam imagens poliglotas para mandarem payloads  maliciosas de JavaScript

  • Os agressores adicionavam códigos JavaScript a uma imagem que redirecionava para uma página de ofertas com prêmios falsos.
  • Os códigos maliciosos ficavam escondidos num tipo de imagem BMP altamente ofuscada.
  • O browser executava o string do payload  malicioso da imagem poliglota, ignorando os dados da imagem.

Em fevereiro também, o malware Emotet, Hancitor e GrandCrab estavam ativos. Fora os padrões normais de enviarem “Phishing e-mails” com anexos maliciosos ou links, vimos também o uso de um servidor FTP para extrair dados roubados. Outro Phishing muito utilizado dessa vez foi o da Fedex.

  • Um e-mail de uma conta falsificada da FedEx era enviado com um anexo malicioso.
  • Para abrir o arquivo Word, era preciso habilitar macros.
  • O código malicioso microflash.no/includes/AL5THvvehvvvajyc.exe era executado
  • O Windows infectado enviava as credenciais de login roubadas e uma foto para um servidor FTP num domínio working-from-home.ga

O grupo Norte Koreano APT Lazarus voltou à ativa (ou continuou) só que  dessa vez focando em empresas Russas.

  • Um e-mail era enviado com um anexo ZIP malicioso.
  • O arquivo ZIP continha dois documentos: um documento PDF chamariz benigno e um documento Word malicioso com macros.
  • O arquivo benigno NDA_USA.pdf continha um NDA da StarForce Technologies para obter um software de proteção contra cópia.
  • Depois que as macros eram habilitadas, um script VBS foi baixado de um URL do Dropbox, seguido pela execução do script VBS.
  • O script VBS baixava um arquivo CAB do servidor dropzone.
  • O arquivo .exe incorporado (backdoor) era executado usando o utilitário “expand.exe” do Windows.
  • Uma vez executado, o cavalo de Tróia Keymarble foi acionado, abrindo um “backdoor” para atacantes remotos.

Para instalar a backdoor Keymarble em computadores corrompidos, o Lazarus aproveitava esses servidores que o “guardavam” em forma de arquivos CAB camuflados em imagens JPEG , também para driblar identificação pelas soluções de cybersegurança.

A Cymulate têm avisado insistentemente que e-mail é o método mais utilizado para invasões e o ponto de entrada para ameaças de cyberataques em cadeia. É por isso que atualmente a Cymulate é a única empresa a oferecer uma avaliação de e-mail que simula ataques nas empresas com e-mails maliciosos. Desafiar o controle de segurança de e-mails, tais como Secure Email Gateway, Mail relay, Sand box, Content disarm and reconstruction etc. com as mesmas técnicas utilizadas por agressores reais.

Para descobrir se sua empresa está protegida contra os últimos ataques de malware, faça uma Avaliação de Ameaças Imediatas, clique aqui e verifique se sua empresa está ou não vulnerável a esses ataques. O resultado dessa avaliação mostrará como mitigar as ameaças que forem descobertas.

Fique Seguro!

Generic selectors
Exact matches only
Search in title
Search in content
Search in posts
Search in pages