Índice:
- Grupo TA505 usa AndromedBase para desenvolver e implantar o AndroMut
- Como o grupo TA505 está executando o ataque de malware?
- O que é AndroMut e como funciona o malware de vários estágios?
- O Grupo TA505 está seguindo o dinheiro, dizem os especialistas:
Vídeo: Grupos De Hackers Profissionais Estão Adotando Uma Nova Forma De Malware Com O 'AndroMut', Visando Informações Financeiras E Bancos Usando Engenharia Social
2024 Autor: Kayla Nelson | [email protected]. Última modificação: 2023-12-17 01:33
O grupo profissional de hackers com técnicas sofisticadas para executar ataques de phishing e outras formas de malware parece estar alterando sua direção. Com o objetivo claro de priorizar a qualidade em vez da quantidade, o infame grupo de hackers TA505 mudou usando uma nova forma de código malicioso chamado AndroMut. Curiosamente, o malware parece ser inspirado em Andromeda. Projetado originalmente por outro grupo de hackers, o Andromed era um dos maiores botnets de malware do mundo em 2017. Os botnets baseados no Andromedcode executaram com sucesso sua entrega de carga em vários PCs vulneráveis e suspeitos executando o sistema operacional Windows. O AndroMut parece ser amplamente baseado neste mesmo código do Andromed, indicando uma possível colaboração entre os grupos de hackers.
Um dos grupos cibercriminosos de maior sucesso do mundo, que se autodenominam TA505, parece ter alterado suas táticas. Como parte da mais recente campanha maliciosa de ataque e roubo de informações financeiras, o grupo está ocupado distribuindo uma nova forma de malware. Em vez de visar a um grande número de indivíduos, como parte do pivô, o grupo TA505 parece estar indo atrás de bancos e outros serviços financeiros. A propósito, o ponto de entrada ou origem permanece o mesmo, mas o alvo pretendido e o foco parecem estar no setor financeiro organizado. A propósito, empresas financeiras nos Estados Unidos, Emirados Árabes Unidos e Cingapura são aconselhadas a ficar em alerta máximo e procurar qualquer conteúdo suspeito. Alguns dos pontos mais comuns do ataque continuam sendo e-mails com aparência oficial.
Grupo TA505 usa AndromedBase para desenvolver e implantar o AndroMut
O infame grupo TA505 parece ter aumentado sua intensidade durante o último mês e continuou com a mesma ferocidade. Ele não está mais tentando implantar ondas aleatórias de ataques que tentam obter o controle das máquinas das vítimas. Em outras palavras, e-mails de phishing em massa não são mais a tática preferida. Em vez disso, o grupo TA505 reduziu significativamente o volume de ataques e mudou claramente para ataques mais direcionados.
Bom artigo de @proofpointpesquisadores discutindo duas campanhas distintas por TA505 que usaram AndroMut para baixar FlawedAmmyy. AndroMut é escrito em C ++ e é uma espécie de downloader
Blog:
Amostras:
- InQuest (@InQuest) 3 de julho de 2019
Com base na análise de vários e-mails suspeitos e outras formas de comunicação e mídia eletrônica, os pesquisadores de segurança cibernética da Proofpoint indicaram que o grupo de hackers parece ter como alvo funcionários de bancos e outros provedores de serviços financeiros. Os pesquisadores também descobriram o uso de uma nova forma de malware sofisticado. Os pesquisadores estão chamando-o de AndroMut e descobriram que o malware tem poucas semelhanças com o Andromeda. Projetado e implantado por um grupo totalmente diferente de hackers, o Andromed tem sido um dos mais bem executados, perigosos e uma das maiores redes de botnets de malware do mundo. Até 2017, o Andromed estava se espalhando prolificamente e se instalando com sucesso em PCs vulneráveis com o sistema operacional Windows.
Como o grupo TA505 está executando o ataque de malware?
Como a maioria dos outros ataques do grupo TA505, o novo malware AndroMut também é distribuído por meio de e-mails de aparência legítima. Os ataques de phishing envolvem e-mails que parecem e parecem altamente oficiais e autênticos. Esses e-mails geralmente afirmam conter faturas e outros documentos supostamente relacionados a bancos e finanças. Os e-mails usados em phishing costumam ser criados meticulosamente. Embora vários e-mails contenham o popular documento PDF, os e-mails de phishing do grupo TA505 parecem depender de documentos do Word.
twitter.com/rsz619mania/status/1146387091598667777
Depois que a vítima desavisada abre o documento do Word atado, o grupo conta com a engenharia social para continuar o ataque. Isso pode parecer complicado, mas, na verdade, o ataque se baseia em um método bastante antigo de "macros" em documentos do Word. Os alvos são informados de que as informações estão "protegidas" e precisam habilitar a edição para ver seu conteúdo. Isso ativa macros e permite que AndroMut seja entregue à máquina. Em seguida, esse malware baixa discretamente o FlawedAmmyy. Depois que ambos são instalados, as máquinas das vítimas ficam totalmente comprometidas.
O que é AndroMut e como funciona o malware de vários estágios?
TA505 está usando AndroMut como o primeiro estágio no ataque de dois estágios. Em outras palavras, o AndroMut é a primeira parte da infecção e controle bem-sucedidos dos computadores das vítimas. Uma vez bem-sucedido na penetração, o AndroMut usa a infecção para soltar discretamente a segunda carga na máquina comprometida. A segunda carga de código malicioso é chamada de FlawedAmmyy. Essencialmente, FlawedAmmyy é um poderoso e eficiente Trojan ou RAT de acesso remoto.
O agressivo RAT FlawedAmmyy de segundo estágio é um malware virulento que concede acesso remoto aos computadores das vítimas. Os invasores podem obter privilégios administrativos remotos. Uma vez dentro, os invasores têm acesso completo aos arquivos, credenciais e muito mais.
Aliás, os dados, em si, não são o alvo. Em outras palavras, roubar dados não é a intenção primária. Como parte do pivô, o grupo TA505 busca informações que lhes garantam acesso à rede interna de bancos e outras instituições financeiras.
TA505 lance le logiciel malveillant AndroMut https://t.co/Gv0krE1U66 pic.twitter.com/dStN33FsUy
- C_138 (@ C_138) 3 de julho de 2019
O Grupo TA505 está seguindo o dinheiro, dizem os especialistas:
Falando sobre as atividades do grupo de hackers, Chris Dawson, líder de inteligência de ameaças da Proofpoint, disse: “O movimento do A505 para distribuir principalmente RATs e downloaders em campanhas muito mais direcionadas do que anteriormente empregado com Trojans bancários e ransomware sugere uma mudança fundamental em suas táticas. Essencialmente, o grupo está buscando infecções de qualidade superior com potencial para monetização de longo prazo - qualidade sobre quantidade.”
Os cibercriminosos estão basicamente ajustando seus ataques e selecionando seus alvos, em vez de empreender campanhas massivas de e-mail na esperança de prender as vítimas. Eles estão atrás dos dados e, mais importante, de informações confidenciais, para roubar dinheiro. O último pivô é essencialmente apenas um exemplo de hackers seguindo o mercado e o dinheiro. Portanto, a mudança na estratégia não deve ser considerada permanente, observou Dawson, O que não está claro é o resultado final ou o fim do jogo dessa mudança. O A505 segue muito o dinheiro, adaptando-se às tendências globais e explorando novas geografias e cargas úteis para maximizar seus retornos.”
Recomendado:
A Falha Da Política De Mesma Origem (SOP) Do Microsoft Edge Pode Permitir Que Hackers Roubem Informações De Arquivos Armazenados Localmente
O pesquisador de segurança da Netsparker, Ziyahan Albeniz, descobriu uma vulnerabilidade no navegador Edge da Microsoft que permitia a disseminação de malware. Ele
LG Anuncia The Velvet: A Empresa Adotando Uma Nova Perspectiva Sobre Smartphones
A LG, desde a virada do século, é responsável por alguns celulares estilosos. Chegando na década de 2010, smartphones como LG G3 eram um pouco de design
Relatórios Afirmam Que M-Two E Capcom Começam A Trabalhar Em Resident Evil 4 Remake: Visando Uma Versão 2022
Resident Evil, uma das franquias mais antigas da indústria de jogos. Desenvolvido pela Capcom, o jogo foi adaptado para a tela grande quando o primeiro
A Pasta Ex-Confidential Lake Da Intel Vaza 20 GB De Informações Contendo Detalhes De IP Sobre Microarquitetura, Engenharia, Design De Chip E Possíveis Backdoors Exploráveis?
A Intel sofreu uma violação massiva de dados. O arquivo importante do fabricante da CPU, codinome ‘Intel Ex-Confidential Lake’, foi ilegalmente acessado, baixado
Intel Core I9-11900K, Core I9-11900 E Core I7-11700 Amostras De Engenharia CPU-Z Capturas De Tela Informações Sobre A Oferta Dos Processadores Willow Cove De 11ª Geração
Três amostras de CPU alegadas ser Intel Core i9-11900K, Core i9-11900 e Core i7-11700 apareceram online. A pessoa que afirma estar em posse