Logo pt.nowadaytechnol.com

Grupos De Hackers Profissionais Estão Adotando Uma Nova Forma De Malware Com O 'AndroMut', Visando Informações Financeiras E Bancos Usando Engenharia Social

Índice:

Grupos De Hackers Profissionais Estão Adotando Uma Nova Forma De Malware Com O 'AndroMut', Visando Informações Financeiras E Bancos Usando Engenharia Social
Grupos De Hackers Profissionais Estão Adotando Uma Nova Forma De Malware Com O 'AndroMut', Visando Informações Financeiras E Bancos Usando Engenharia Social

Vídeo: Grupos De Hackers Profissionais Estão Adotando Uma Nova Forma De Malware Com O 'AndroMut', Visando Informações Financeiras E Bancos Usando Engenharia Social

Vídeo: Grupos De Hackers Profissionais Estão Adotando Uma Nova Forma De Malware Com O 'AndroMut', Visando Informações Financeiras E Bancos Usando Engenharia Social
Vídeo: NA PRÁTICA: COMO FUNCIONA A INVASÃO DE UM SITE 2024, Marcha
Anonim
Image
Image

O grupo profissional de hackers com técnicas sofisticadas para executar ataques de phishing e outras formas de malware parece estar alterando sua direção. Com o objetivo claro de priorizar a qualidade em vez da quantidade, o infame grupo de hackers TA505 mudou usando uma nova forma de código malicioso chamado AndroMut. Curiosamente, o malware parece ser inspirado em Andromeda. Projetado originalmente por outro grupo de hackers, o Andromed era um dos maiores botnets de malware do mundo em 2017. Os botnets baseados no Andromedcode executaram com sucesso sua entrega de carga em vários PCs vulneráveis e suspeitos executando o sistema operacional Windows. O AndroMut parece ser amplamente baseado neste mesmo código do Andromed, indicando uma possível colaboração entre os grupos de hackers.

Um dos grupos cibercriminosos de maior sucesso do mundo, que se autodenominam TA505, parece ter alterado suas táticas. Como parte da mais recente campanha maliciosa de ataque e roubo de informações financeiras, o grupo está ocupado distribuindo uma nova forma de malware. Em vez de visar a um grande número de indivíduos, como parte do pivô, o grupo TA505 parece estar indo atrás de bancos e outros serviços financeiros. A propósito, o ponto de entrada ou origem permanece o mesmo, mas o alvo pretendido e o foco parecem estar no setor financeiro organizado. A propósito, empresas financeiras nos Estados Unidos, Emirados Árabes Unidos e Cingapura são aconselhadas a ficar em alerta máximo e procurar qualquer conteúdo suspeito. Alguns dos pontos mais comuns do ataque continuam sendo e-mails com aparência oficial.

Grupo TA505 usa AndromedBase para desenvolver e implantar o AndroMut

O infame grupo TA505 parece ter aumentado sua intensidade durante o último mês e continuou com a mesma ferocidade. Ele não está mais tentando implantar ondas aleatórias de ataques que tentam obter o controle das máquinas das vítimas. Em outras palavras, e-mails de phishing em massa não são mais a tática preferida. Em vez disso, o grupo TA505 reduziu significativamente o volume de ataques e mudou claramente para ataques mais direcionados.

Bom artigo de @proofpointpesquisadores discutindo duas campanhas distintas por TA505 que usaram AndroMut para baixar FlawedAmmyy. AndroMut é escrito em C ++ e é uma espécie de downloader

Blog:

Amostras:

- InQuest (@InQuest) 3 de julho de 2019

Com base na análise de vários e-mails suspeitos e outras formas de comunicação e mídia eletrônica, os pesquisadores de segurança cibernética da Proofpoint indicaram que o grupo de hackers parece ter como alvo funcionários de bancos e outros provedores de serviços financeiros. Os pesquisadores também descobriram o uso de uma nova forma de malware sofisticado. Os pesquisadores estão chamando-o de AndroMut e descobriram que o malware tem poucas semelhanças com o Andromeda. Projetado e implantado por um grupo totalmente diferente de hackers, o Andromed tem sido um dos mais bem executados, perigosos e uma das maiores redes de botnets de malware do mundo. Até 2017, o Andromed estava se espalhando prolificamente e se instalando com sucesso em PCs vulneráveis com o sistema operacional Windows.

Como o grupo TA505 está executando o ataque de malware?

Como a maioria dos outros ataques do grupo TA505, o novo malware AndroMut também é distribuído por meio de e-mails de aparência legítima. Os ataques de phishing envolvem e-mails que parecem e parecem altamente oficiais e autênticos. Esses e-mails geralmente afirmam conter faturas e outros documentos supostamente relacionados a bancos e finanças. Os e-mails usados em phishing costumam ser criados meticulosamente. Embora vários e-mails contenham o popular documento PDF, os e-mails de phishing do grupo TA505 parecem depender de documentos do Word.

twitter.com/rsz619mania/status/1146387091598667777

Depois que a vítima desavisada abre o documento do Word atado, o grupo conta com a engenharia social para continuar o ataque. Isso pode parecer complicado, mas, na verdade, o ataque se baseia em um método bastante antigo de "macros" em documentos do Word. Os alvos são informados de que as informações estão "protegidas" e precisam habilitar a edição para ver seu conteúdo. Isso ativa macros e permite que AndroMut seja entregue à máquina. Em seguida, esse malware baixa discretamente o FlawedAmmyy. Depois que ambos são instalados, as máquinas das vítimas ficam totalmente comprometidas.

O que é AndroMut e como funciona o malware de vários estágios?

TA505 está usando AndroMut como o primeiro estágio no ataque de dois estágios. Em outras palavras, o AndroMut é a primeira parte da infecção e controle bem-sucedidos dos computadores das vítimas. Uma vez bem-sucedido na penetração, o AndroMut usa a infecção para soltar discretamente a segunda carga na máquina comprometida. A segunda carga de código malicioso é chamada de FlawedAmmyy. Essencialmente, FlawedAmmyy é um poderoso e eficiente Trojan ou RAT de acesso remoto.

O agressivo RAT FlawedAmmyy de segundo estágio é um malware virulento que concede acesso remoto aos computadores das vítimas. Os invasores podem obter privilégios administrativos remotos. Uma vez dentro, os invasores têm acesso completo aos arquivos, credenciais e muito mais.

Aliás, os dados, em si, não são o alvo. Em outras palavras, roubar dados não é a intenção primária. Como parte do pivô, o grupo TA505 busca informações que lhes garantam acesso à rede interna de bancos e outras instituições financeiras.

TA505 lance le logiciel malveillant AndroMut https://t.co/Gv0krE1U66 pic.twitter.com/dStN33FsUy

- C_138 (@ C_138) 3 de julho de 2019

O Grupo TA505 está seguindo o dinheiro, dizem os especialistas:

Falando sobre as atividades do grupo de hackers, Chris Dawson, líder de inteligência de ameaças da Proofpoint, disse: “O movimento do A505 para distribuir principalmente RATs e downloaders em campanhas muito mais direcionadas do que anteriormente empregado com Trojans bancários e ransomware sugere uma mudança fundamental em suas táticas. Essencialmente, o grupo está buscando infecções de qualidade superior com potencial para monetização de longo prazo - qualidade sobre quantidade.”

Os cibercriminosos estão basicamente ajustando seus ataques e selecionando seus alvos, em vez de empreender campanhas massivas de e-mail na esperança de prender as vítimas. Eles estão atrás dos dados e, mais importante, de informações confidenciais, para roubar dinheiro. O último pivô é essencialmente apenas um exemplo de hackers seguindo o mercado e o dinheiro. Portanto, a mudança na estratégia não deve ser considerada permanente, observou Dawson, O que não está claro é o resultado final ou o fim do jogo dessa mudança. O A505 segue muito o dinheiro, adaptando-se às tendências globais e explorando novas geografias e cargas úteis para maximizar seus retornos.”

Recomendado: