A equipe de Inteligência de Ameaças da Microsoft disse que observou um ator de ameaças que rastreia sob o nome Storm-1811 abusando da ferramenta de gerenciamento de clientes Quick Assist para direcionar os usuários em ataques de engenharia social.
O ataque envolve o uso de impessoalidade através de phishing por voz para enganar vítimas desprevenidas a instalar ferramentas de monitoramento e gerenciamento remoto (RMM), seguido pela entrega de QakBot, Cobalt Strike e, finalmente, ransomware Black Basta.
“Ameaçadores usam recursos do Quick Assist para realizar ataques de engenharia social, por exemplo, fingindo ser um contato de confiança como suporte técnico da Microsoft ou um profissional de TI da empresa do usuário-alvo para obter acesso inicial a um dispositivo-alvo”, disse a empresa de tecnologia.
O Quick Assist é um aplicativo legítimo da Microsoft que permite aos usuários compartilhar seu dispositivo Windows ou macOS com outra pessoa através de uma conexão remota, principalmente com o objetivo de solucionar problemas técnicos em seus sistemas. Ele vem instalado por padrão em dispositivos que executam o Windows 11.
Para tornar os ataques mais convincentes, os ameaçadores lançam ataques listing de links, um tipo de ataque de bombardeio de e-mail no qual os endereços de e-mail direcionados são inscritos em vários serviços legítimos de assinatura de e-mail para inundar suas caixas de entrada com conteúdo assinado.
O adversário então se faz passar pelo time de suporte de TI da empresa por meio de ligações telefônicas para o usuário-alvo, alegando oferecer ajuda na remediação do problema de spam e persuadindo-os a conceder acesso ao seu dispositivo através do Quick Assist.
“Depois que o usuário permite acesso e controle, o ator de ameaça executa um comando cURL scriptado para baixar uma série de arquivos em lote ou arquivos ZIP usados para entregar cargas maliciosas”, disse o fabricante do Windows.
“A Storm-1811 aproveita seu acesso e realiza mais atividades manuais no teclado, como enumeração de domínio e movimento lateral. A Storm-1811 então usa o PsExec para implantar ransomware Black Basta em toda a rede.”
A Microsoft disse que está analisando de perto o uso incorreto do Quick Assist nesses ataques e que está trabalhando para incorporar mensagens de aviso no software para notificar os usuários sobre possíveis golpes de suporte técnico que poderiam facilitar a entrega de ransomware.
A campanha, acreditava-se ter sido iniciada em meados de abril de 2024, visou uma variedade de setores e verticais, incluindo manufatura, construção, alimentos e bebidas e transporte, disse a Rapid7, indicando a natureza oportunista dos ataques.
“Baixa barreira de entrada para a realização desses ataques, aliada aos impactos significativos que esses ataques têm sobre suas vítimas, continuam a fazer do ransomware um meio muito eficaz para os atores de ameaças em busca de um pagamento”, disse Robert Knapp, gerente sênior de serviços de resposta a incidentes na Rapid7, em comunicado compartilhado com The Hacker News.
A Microsoft também descreveu o Black Basta como uma “oferta de ransomware fechada” em oposição a uma operação de ransomware como serviço (RaaS) que compreende uma rede de desenvolvedores principais, afiliados e corretores de acesso inicial que conduzem ataques de ransomware e extorsão.
É “distribuído por um pequeno número de ameaçadores que geralmente dependem de outros ameaçadores para acesso inicial, infraestrutura maliciosa e desenvolvimento de malware”, disse a empresa.
“Desde o aparecimento do Black Basta em abril de 2022, os atacantes do Black Basta implantaram o ransomware após obter acesso do QakBot e outros distribuidores de malware, destacando a necessidade de as organizações se concentrarem nas etapas de ataque anteriores à implantação do ransomware para reduzir a ameaça.”
Recomenda-se que as organizações bloqueiem ou desinstalem o Quick Assist e ferramentas similares de monitoramento e gerenciamento remoto se não estiverem em uso e treinem os funcionários para reconhecer golpes de suporte técnico.
