Você está visualizando atualmente Campanha Em Andamento Bombardeia Empresas com Emails de Spam e Chamadas Telefônicas

Campanha Em Andamento Bombardeia Empresas com Emails de Spam e Chamadas Telefônicas

Pesquisadores de cibersegurança descobriram uma campanha de engenharia social em curso que bombardeia empresas com e-mails de spam com o objetivo de obter acesso inicial aos seus ambientes para uma exploração posterior.

“A situação envolve um ator de ameaça sobrecarregando o e-mail de um usuário com lixo e ligando para o usuário, oferecendo assistência”, afirmaram os pesquisadores da Rapid7, Tyler McGraw, Thomas Elkins e Evan McCann.

“O ator de ameaça induz os usuários afetados a baixar um software de monitoramento e gerenciamento remoto, como o AnyDesk, ou utilizar o recurso Quick Assist integrado da Microsoft para estabelecer uma conexão remota.”

A nova campanha está em andamento desde o final de abril de 2024, com os e-mails consistindo principalmente de mensagens de confirmação de cadastro de boletim informativo de organizações legítimas e feitos com o objetivo de sobrecarregar as soluções de proteção de e-mail.

Os usuários afetados são abordados por ligações telefônicas se passando pela equipe de TI da empresa, enganando-os para instalar um software de desktop remoto sob o pretexto de resolver os problemas de e-mail.

O acesso remoto ao computador deles é posteriormente aproveitado para baixar cargas adicionais, colher credenciais e manter a persistência nos hosts.

Isso é feito executando vários scripts em lote, um dos quais também estabelece contato com um servidor de comando e controle (C2) para baixar uma cópia legítima do OpenSSH para Windows e, por fim, lançar um shell reverso para o servidor.

Em um incidente observado pela empresa de cibersegurança, os atores por trás da campanha tentaram sem sucesso implantar beacons Cobalt Strike em outros ativos dentro da rede comprometida.

Embora não haja evidências de execução de ransomware como parte da campanha, a Rapid7 disse que a atividade se sobrepõe a indicadores de ataque previamente identificados associados aos operadores de ransomware Black Basta.

A cadeia de ataque também foi usada para fornecer ferramentas adicionais de monitoramento e gerenciamento remoto, como o ConnectWise ScreenConnect, bem como um cavalo de Troia de acesso remoto chamado NetSupport RAT, que foi recentemente usado por atores da FIN7 como parte de uma campanha de malvertising.

Isso é especialmente importante diante do fato de que os atores da FIN7 são suspeitos de ter vínculos estreitos com o Black Basta. Enquanto a FIN7 inicialmente usava malware de ponto de venda (PoS) para realizar fraudes financeiras, desde então eles mudaram para operações de ransomware, seja como afiliado ou conduzindo suas próprias operações sob os nomes DarkSide e BlackMatter.

“Após ganhar acesso ao ativo comprometido com sucesso, a Rapid7 observou o ator de ameaça tentando implantar beacons Cobalt Strike, disfarçados como uma Biblioteca de Vínculo Dinâmico (DLL) legítima chamada 7z.DLL, em outros ativos dentro da mesma rede que o ativo comprometido usando o conjunto de ferramentas Impacket”, disse a Rapid7.

Phorpiex Distribui LockBit Black

Isso ocorre enquanto a Proofpoint revelou detalhes de uma nova campanha de ransomware LockBit Black (também conhecido como LockBit 3.0) que usa o botnet Phorpiex (também conhecido como Trik) como conduto para entregar mensagens de e-mail contendo a carga de ransomware.

Estima-se que milhões de mensagens tenham sido enviadas durante a campanha de alto volume que começou em 24 de abril de 2024. Não está claro quem está por trás do ataque.

“A amostra LockBit Black desta campanha provavelmente foi construída a partir do construtor LockBit vazado durante o verão de 2023”, disseram os pesquisadores da Proofpoint.

“O construtor LockBit Black forneceu aos atores de ameaça acesso a um ransomware proprietário e sofisticado. A combinação disso com o duradouro botnet Phorpiex amplifica a escala de tais campanhas de ameaças e aumenta as chances de ataques bem-sucedidos com ransomware.”

Visões sobre o Grupo de Ransomware Mallox

Também foi observado que ataques de ransomware estão forçando servidores do Microsoft SQL para implantar o malware de criptografia de arquivos Mallox por meio de um carregador baseado em .NET chamado PureCrypter, de acordo com a Sekoia.

Um grupo de ransomware fechado que opera na região europeia, Mallox é conhecido por estar distribuído desde pelo menos junho de 2021. Ele ganhou destaque em meados de 2022 após sua transição para um modelo de ransomware como serviço (RaaS) e uma estratégia de dupla extorsão.

Duas diferentes personas online associadas ao grupo, a saber, Mallx e RansomR, foram observadas recrutando ativamente afiliados para a operação em vários fóruns underground.

Análises adicionais do servidor de exfiltração de dados do ator de ameaça e de sua infraestrutura na dark web revelaram os nomes de diferentes membros “da equipe”, incluindo Admin, Suporte, Maestro, Equipe, Neuroframe, Panda, Grindr, Hiervos e Vampire.

“Mallox é quase certamente um conjunto de intrusões oportunista que impacta organizações em vários setores, especialmente os de manufatura, varejo e tecnologia”, disse a empresa.

“Embora os representantes do Mallox busquem ativamente alvos de alta receita (como indicado em postagens de recrutamento em fóruns de crimes cibernéticos), a maioria das vítimas conhecidas do ransomware em fontes abertas são pequenas e médias empresas.”

Encontrou este artigo interessante? Siga-nos no Twitter e LinkedIn para ler mais conteúdo exclusivo que postamos.