Boletim semanal de cibersegurança 30 outubro-5 novembro

Trojan Source: vulnerabilidade em compiladores de código fonte

Pesquisadores da Universidade de Cambridge publicaram um artigo detalhando um novo método de ataque chamado «Trojan Source» que permite explorar uma falha presente na maioria dos compiladores de código-fonte e ambientes de desenvolvimento de software existentes. O método aproveita as características dos padrões de codificação de texto, como o Unicode, fazendo modificações que geram vulnerabilidades no código-fonte que passariam despercebidas por um humano e poderiam ser implementadas nas principais linguagens de programação como C, C++, C#, Java Script, Java, Rust, Go e Python.

Como resultado, tal ataque geraria um comprometimento da cadeia de fornecimento de software. Além disso, a pesquisa adverte que as vulnerabilidades introduzidas no código-fonte persistem nas funções de cópia e cola da maioria dos navegadores, editores e sistemas operacionais modernos, o que significa que qualquer desenvolvedor que copie código de uma fonte não confiável em uma base de código protegida poderia inadvertidamente introduzir vulnerabilidades «invisíveis» em um sistema. Os pesquisadores já compartilharam essas descobertas com 19 organizações envolvidas, muitas das quais já estão desenvolvendo atualizações para abordar o problema em compiladores de código, intérpretes, editores de código e repositórios (por exemplo, Rust catalogou com o identificador CVE-2021-42574).  Há também diferentes provas de conceito que simulam ataques nas linguagens de programação descritas.

Mais informações: https://trojansource.codes/trojan-source.pdf

BlackMatter anuncia o encerramento das operações sob pressão das autoridades

Atores de ameaças relacionados ao ransomware BlackMatter anunciaram o encerramento das operações devido à pressão das autoridades locais. Pesquisadores da plataforma VX-Underground divulgaram uma captura de tela da declaração, publicada no site privado RaaS (Ransomware-as-a-service), onde os operadores se comunicam e oferecem seus serviços às afiliadas. A tradução da mensagem, originalmente escrita em russo, afirma que a infraestrutura da BlackMatter será fechada nas próximas 48 horas, embora eles abram a possibilidade de continuar a fornecer aos afiliados os decodificadores necessários para continuar com suas operações de extorsão. Alguns meios de comunicação apontam que a motivação do grupo responde à recente publicação de relatórios da Microsoft e da Gemini Advisory que ligaram o grupo FIN7 (considerados os criadores da BlackMatter) a uma empresa pública Bastion Secure, bem como o aumento das prisões de indivíduos pertencentes a outros grupos de ransomware.

Saiba mais: https://twitter.com/vxunderground/status/1455750066560544769

Trojan bancário Mekotio reaparece com campanha melhorada

Pesquisadores do Checkpoint detectaram uma nova campanha do Trojan bancário Mekotio com mais de cem ataques nas últimas semanas usando e-mails de phishing contendo links maliciosos ou anexos zip. Segundo os pesquisadores, essa nova onda de ataques começou após a operação realizada pela Guarda Civil Espanhola em julho passado que resultou na prisão de 16 pessoas envolvidas na distribuição desse malware. No entanto, as indicações atuais apontam o Brasil como o centro de comando dos operadores de Mekotio, embora mantenha alguma colaboração da Espanha.

O principal objetivo da Mekotio é o roubo de credenciais bancárias de usuários de língua espanhola e sua versão atual traz consigo novidades marcantes em seu fluxo de ataque, uma vez que seus desenvolvedores alcançaram maior ocultação e discrição ao implementar suas técnicas. Além de ter mais camadas de ofuscação, o zip anexado em e-mails de phishing contém um script com recursos de localização e análise que permitem que as vítimas sejam discriminadas com base em sua nacionalidade ou até mesmo detectem se o malware está sendo executado a partir de uma máquina virtual, permitindo que o ator ameace escapar da detecção e,  portanto, implantar com sucesso o malware.

Mais informações: https://research.checkpoint.com/2021/mekotio-banker-returns-with-improved-stealth-and-ancient-encryption/

Campanha do ator ameaça Tortilla distribuindo o Ransomware Babuk

Os pesquisadores de segurança da Cisco Talos identificaram uma campanha ativa que visa implantar o ransomware babuk através da exploração de servidores microsoft Exchange vulneráveis ao ProxyShell e PetitPotam. Esta campanha seria liderada pelo ator de ameaças conhecido como Tortilla, um grupo que está ativo desde julho de 2021 e cujo principal objetivo são as organizações localizadas nos Estados Unidos, bem como o Reino Unido, Alemanha, Ucrânia, Finlândia, Brasil, Honduras e Tailândia, em menor grau. O processo de infecção geralmente começa com um download no formato DLL ou EXE, que executará um comando PowerShell ofuscado e baixará a carga final do ransomware Babuk inserindo-o em um novo processo criado ad-hoc (AddInProcess32). Além disso, os pesquisadores também observaram a presença da webshell do Helicóptero da China em múltiplos sistemas infectados; bem como a tentativa de exploração de outras vulnerabilidades em Atlassian, Apache Struts, Oracle WebLogic ou WordPress.

Saiba mais: https://blog.talosintelligence.com/2021/11/babuk-exploits-exchange.html