Campanha Em Andamento Bombardeia Empresas com Emails e Ligações de Spam – Virus Killer – Recuperação de Site Invadido por Vírus e Malware

Pesquisadores de cibersegurança descobriram uma campanha em andamento de engenharia social que bombardeia empresas com emails de spam com o objetivo de obter acesso inicial aos seus ambientes para exploração posterior.

“O incidente envolve um ator ameaçador sobrecarregando o email de um usuário com lixo e ligando para o usuário, oferecendo assistência”, disseram os pesquisadores da Rapid7.

“O ator ameaçador estimula os usuários afetados a baixarem software de monitoramento remoto e gerenciamento, como AnyDesk, ou usar o recurso Quick Assist integrado ao Microsoft para estabelecer uma conexão remota.”

A campanha é dita ter começado desde o final de abril, com os emails consistindo principalmente de mensagens de confirmação de cadastro em newsletters de organizações legítimas, com a intenção de sobrecarregar as soluções de proteção de email.

Os usuários afetados são então abordados por telefonemas, se passando pela equipe de TI da empresa, enganando-os a instalar um software de desktop remoto sob o pretexto de resolver problemas de email.

O acesso remoto ao computador é posteriormente utilizado para baixar cargas adicionais para coletar credenciais e manter persistência nos hosts.

Isso é feito executando vários scripts em lote, um dos quais também estabelece contato com um servidor de comando e controle (C2) para baixar uma cópia legítima do OpenSSH para Windows e, por fim, lançar um shell reverso para o servidor.

Num incidente observado pela empresa de cibersegurança, os atores da ameaça por trás da campanha tentaram sem sucesso implantar beacons Cobalt Strike em outros ativos dentro da rede comprometida.

Embora não haja evidências de ransomware sendo executado como parte da campanha, a Rapid7 disse que a atividade se sobrepõe a indicadores de ataque previamente identificados associados aos operadores do ransomware Black Basta.

A cadeia de ataques também foi usada para entregar ferramentas adicionais de monitoramento e gerenciamento remoto, como o ConnectWise ScreenConnect, bem como um trojan de acesso remoto chamado NetSupport RAT, que foi recentemente usado pelo grupo FIN7 como parte de uma campanha de malvertising.

Isso é particularmente relevante, considerando que o grupo FIN7 é suspeito de ter laços próximos com o Black Basta. Enquanto o FIN7 inicialmente utilizava malware de ponto de venda (PoS) para fraudes financeiras, eles passaram a operações de ransomware, sob os nomes DarkSide e BlackMatter.

“Após obter acesso com sucesso ao ativo comprometido, a Rapid7 observou o ator da ameaça tentando implantar beacons Cobalt Strike, disfarçados como uma biblioteca de links dinâmicos (DLL) legítima chamada 7z.DLL, em outros ativos dentro da mesma rede do ativo comprometido usando a ferramenta Impacket”, disse a Rapid7.

Phorpiex Distribui LockBit Black

Essa descoberta ocorre em meio à revelação detalhes de uma nova campanha de ransomware LockBit Black (também conhecido como LockBit 3.0) que utiliza o botnet Phorpiex (também conhecido como Trik) como um canal para entregar mensagens de email contendo a carga útil do ransomware.

Milhões de mensagens foram enviadas durante a campanha de alto volume que começou em 24 de abril de 2024. Atualmente não está claro quem está por trás do ataque.

“A amostra do LockBit Black dessa campanha provavelmente foi construída a partir do construtor do LockBit que vazou durante o verão de 2023”, disseram os pesquisadores.

“O construtor do LockBit Black forneceu aos atores da ameaça acesso a um ransomware proprietário e sofisticado. A combinação disso com o longevo botnet Phorpiex amplifica a escala de tais campanhas de ameaças e aumenta as chances de ataques de ransomware bem-sucedidos.”

Visão sobre o Grupo de Ransomware Mallox

Ataques de ransomware também foram observados forçando servidores Microsoft SQL a implantar o malware de criptografia de arquivos Mallox via um loader baseado em .NET chamado PureCrypter, de acordo com a Sekoia.

Um grupo de ransomware fechado, operando da região europeia, o Mallox é conhecido por ser distribuído desde, pelo menos, junho de 2021. Ele ganhou destaque em meados de 2022 após sua transição para um modelo de ransomware como serviço (RaaS) e uma estratégia de dupla extorsão.

Duas personalidades online diferentes associadas ao grupo, nomeadamente Mallx e RansomR, foram observadas recrutando ativamente afiliados para a operação em vários fóruns clandestinos.

Para análises mais detalhadas do servidor de exfiltração de dados do ator da ameaça e da infraestrutura dark web deles, foram revelados os nomes de diferentes membros da “equipe”, incluindo Admin, Suporte, Maestro, Equipe, Neuroframe, Panda, Grindr, Hiervos e Vampire.

“O Mallox é quase certamente um conjunto de intrusão oportunista impactando organizações de vários setores, principalmente os de manufatura, varejo e tecnologia”, disse a empresa.

“Embora os representantes do Mallox busquem ativamente alvos de alto faturamento (como indicado em postagens de recrutamento em fóruns de crimes cibernéticos), a maioria das vítimas do ransomware conhecidas em fontes abertas são pequenas e médias empresas.”

Se achou este artigo interessante, siga-nos no Twitter e LinkedIn para ler mais conteúdo exclusivo que publicamos.

Você também pode gostar

Tendências Recentes em Violações e Métodos de Ataque Oferecem um Mapa Valioso para Profissionais de Segurança CibernéticaEncarregados de Detectar e Prevenir a Próxima Grande Novidade

Pesquisadores Alertam Para Hackers Alinhados com a China Visando Países do Mar do Sul da China

O Fim de uma Era: Microsoft Abandona o VBScript em Favor de JavaScript e PowerShell