Cisco Talos: Os cibercriminosos como o Dr.. Frankenstein coletar malware para ataques de componentes díspares

O grupo cibercrime que está por trás da série de ataques direcionados em janeiro-abril 2019 utiliza ferramentas maliciosas recolhidos a partir acessível, componentes livres para roubar credenciais.

Resquisadores em Cisco Talos chamada essa campanha malware “Frankenstein”Porque o grupo habilmente reúne componentes independentes e utilizadas quatro técnicas diferentes durante a operação.

“Avaliamos que esta atividade era hiper-alvo, uma vez que havia um baixo volume desses documentos em vários repositórios de malware”, - dizer em Cisco Talos.

Durante as operações maliciosas, cybercriminals utilizados os seguintes componentes abertos:

  • o artigo elemento para determinar se a amostra está sendo executado em uma máquina virtual;
  • projeto GitHub usando MSbuild para executar comandos do PowerShell;
  • Um componente do projeto GitHub chamada FruityC2 para a criação de um stager;
  • projeto GitHub chamada Império PowerShell para agentes.

Para contornar detecção, cibercriminosos verificar se programas como Process Explorer estão em execução no sistema que está sob o ataque, e se o computador infectado é uma máquina virtual.

Leia também: Pesquisadores da Cisco Talos encontrado vulnerabilidade no DBMS SQLite

Entre outras coisas, o grupo tomou uma série de medidas adicionais a fim de responder apenas para obter-solicitações que contêm campos predefinidos, tais como cookies de sessão, um diretório de domínio específico, etc. Os dados transmitidos protegidos com a criptografia.

"Os atores’ preferência por soluções de código aberto parece ser parte de uma tendência mais ampla em que os adversários estão usando cada vez mais soluções disponíveis publicamente, possivelmente para melhorar a segurança operacional. Estas técnicas de ofuscação exigirá defensores de rede para modificar a sua postura e procedimentos para detectar esta ameaça”, - considerar pesquisadores da Cisco Talos.

Infecção do sistema ocorre por dois vectores. A primeira envolve o uso de um documento do Word maliciosos para baixar um modelo remoto que explora a vulnerabilidade perda de memória no Microsoft Office (CVE-2017-11882) para executar código.

O segundo vetor de ataque também envolve o uso de um documento do Word malicioso. Quando a vítima abre o documento, que é necessária para ativar as macros, e, em seguida, o script de Visual Basic começa a correr. Este script verifica sistema para a presença de ferramentas para análise de malware e pára o trabalho do malware se detectar sinais de uma máquina virtual.

Fonte: https://blog.talosintelligence.com

Sobre Trojan Killer

Carry Trojan Killer portátil em seu memory stick. Certifique-se que você é capaz de ajudar o seu PC resistir a quaisquer ameaças cibernéticas onde quer que vá.

Além disso, verifique

MageCart na Cloud Platform Heroku

Os investigadores encontraram vários MageCart Web Skimmers Em Heroku Cloud Platform

Pesquisadores da Malwarebytes informou sobre encontrar vários skimmers MageCart web na plataforma Heroku nuvem …

Android Spyware CallerSpy

máscaras spyware CallerSpy como uma aplicação de chat Android

Trend Micro especialistas descobriram a CallerSpy malwares, que mascara como uma aplicação de chat Android, …

Deixar uma resposta