Boletim semanal de Cibersegurança 4 – 10 Março

FBI e CISA Lançam Aviso para Combater o Royal Ransomware

Em 2 de março, o FBI e a CISA lançaram o Cyber Security Advisory #StopRansomware: Royal Ransomware para ajudar a combater este tipo de ransomware, espalhando TTPs e IOCs.

Desde setembro de 2022, muitas empresas de diferentes Setores de Infraestrutura Crítica como indústria, telecomunicações, saúde, educação, entre outros, foram violados com esta variante de ransomware.

O FBI e a CISA acreditam que a Royal usa seu próprio programa de criptografia de arquivos e desativa o antivírus ao obter acesso a um sistema e vaza dados antes de finalmente implementar o ransomware.

Posteriormente, eles solicitam resgates entre um e onze milhões de dólares em Bitcoin e na nota que deixam para as vítimas indicaram um site .onion para estabelecer contato. As organizações são incentivadas a implementar recomendações e atenuações de consultoria para evitar esses ataques.

Ler mais ⇾

* * *

Hiatus: Campanha global contra roteadores corporativos

A equipe da Lumen Black Lotus Labs identificou uma campanha ativa direcionada a routers no nível corporativo. A campanha, que tem sido chamada de «Hiatus», estaria ativa desde julho de 2022 sendo seus alvos roteadores DrayTek Vigor nos modelos 2960 e 3900 com uma arquitetura i386, e que estão no final de sua vida útil.

No momento, o vetor de entrada é desconhecido, embora, uma vez que o roteador é violado, os agentes de ameaças implementam um script bash que baixa e executa dois binários maliciosos: por um lado, HiatusRAT e, por outro, uma variante de tcpdump para captura de pacotes.

De acordo com os pesquisadores, pelo menos 100 vítimas teriam sido detectadas, que teriam se tornado parte da botnet dos atores mal-intencionados, estando localizadas principalmente na Europa, América do Norte e América do Sul.

A Lumen Black Lotus Labs estima que os atores ameaçadores teriam mantido a campanha em baixos níveis de infecção, a fim de evitar a detecção, não atraindo tanta atenção.

Ler mais ⇾

* * *

SYS01stealer: novo infostealer dirigido contra infraestruturas críticas

A equipe de pesquisadores da Morphisec publicou um relatório sobre um novo infostealer visando infraestruturas governamentais críticas que eles apelidaram de SYS01stealer.

Especificamente, os agentes mal-intencionados por trás dessa ameaça tentam atingir contas corporativas do Facebook usando anúncios falsos do Google e perfis do Facebook que fornecem links de download promovendo jogos, conteúdo adulto, software, mas na verdade são maliciosos.

Deve-se notar que, uma vez que a vítima baixa o arquivo .zip e ele é executado, o arquivo continuará a executar um sideload DLL dentro do sistema da vítima. Especialistas observam que o objetivo do SYS01stealer é roubar cookies do navegador e aproveitar sessões autenticadas do Facebook para extrair informações da conta do Facebook da vítima.

O malware também pode carregar arquivos do sistema infectado para o servidor de Comando e Controle e executar comandos enviados por ele.

Ler mais ⇾

* * *

PoC de malware polimórfico usando Inteligência Artificial

Pesquisadores da Hyas construíram uma prova de conceito para a geração de malware polimórfico usando um modelo de linguagem de Inteligência Artificial.

O software criado, que eles chamaram de BlackMamba, é um keylogger polimórfico com a capacidade de modificar seu código durante a execução e sem o uso de infraestruturas de Comando e Controle (C2). O BlackMamba usa um executável benigno para se comunicar com a API OpenAI durante a execução, que fornece o código malicioso necessário para coletar as teclas digitadas do usuário. Sempre que o malware é executado, esse recurso é sintetizado novamente, permitindo que ele evite soluções de segurança.

De acordo com os pesquisadores, sua análise com uma solução EDR bem conhecida não produziu detecção do malware. A exfiltração dos dados coletados pelo malware neste teste é feita via Microsoft Teams, que ele acessa com as credenciais roubadas.

Ler mais ⇾