Campanha em Andamento Ataca Empresas com Emails de Spam e Ligações Telefônicas – Virus Killer – Recuperação de Site Invadido por Vírus e Malware

Pesquisadores de cibersegurança descobriram uma campanha contínua de engenharia social que bombardeia empresas com emails de spam com o objetivo de obter acesso inicial a seus ambientes para futuras explorações.

“O incidente envolve um ator ameaçador sobrecarregando o email de um usuário com lixo e ligando para o usuário, oferecendo assistência”, disseram os pesquisadores da Rapid7, Tyler McGraw, Thomas Elkins e Evan McCann.

“O ator ameaçador incentiva os usuários impactados a baixar software de monitoramento e gerenciamento remoto como AnyDesk ou utilizar o recurso Quick Assist integrado da Microsoft para estabelecer uma conexão remota.”

A nova campanha está em andamento desde o final de abril de 2024, com os emails consistindo principalmente de mensagens de confirmação de inscrição em boletins informativos de organizações legítimas e feitas com o objetivo de sobrecarregar as soluções de proteção por email.

Os usuários impactados são então abordados por chamadas telefônicas se passando pelo time de TI da empresa, enganando-os para instalar um software de desktop remoto sob o pretexto de resolver os problemas de email.

O acesso remoto ao computador é posteriormente aproveitado para baixar cargas adicionais para coletar credenciais e manter a persistência nos hosts.

Isso é realizado por meio da execução de vários scripts em lote, um dos quais também estabelece contato com um servidor de controle e comando (C2) para baixar uma cópia legítima do OpenSSH para Windows e, por fim, lançar um shell reverso para o servidor.

Em um incidente observado pela empresa de cibersegurança, os atores por trás da campanha tentaram sem sucesso implantar beacons do Cobalt Strike em outros ativos dentro da rede comprometida.

Embora não haja evidências de ransomware sendo executado como parte da campanha, a Rapid7 afirmou que a atividade se sobrepõe a indicadores de ataque previamente identificados associados aos operadores de ransomware Black Basta.

A cadeia de ataque também foi usada para fornecer ferramentas adicionais de monitoramento e gerenciamento remoto, como ConnectWise ScreenConnect, bem como um cavalo de Troia de acesso remoto chamado NetSupport RAT, recentemente usado pelos atores FIN7 como parte de uma campanha de malvertising.

Isso é especialmente importante considerando que os atores do FIN7 são suspeitos de ter laços próximos com o Black Basta. Enquanto o FIN7 inicialmente usava malware de ponto de venda (PoS) para fraudes financeiras, ele migrou posteriormente para operações de ransomware, seja na qualidade de afiliado ou conduzindo suas próprias operações sob os nomes DarkSide e BlackMatter.

“Após obter acesso ao ativo comprometido com sucesso, a Rapid7 observou o ator ameaçador tentando implantar beacons do Cobalt Strike, disfarçados como uma Biblioteca de Vínculo Dinâmico (DLL) legítima chamada 7z.DLL, em outros ativos dentro da mesma rede do ativo comprometido usando o conjunto de ferramentas Impacket”, disse a Rapid7.

Distribuição do Phorpiex do LockBit Black

O desenvolvimento ocorre no momento em que a Proofpoint revelou detalhes de uma nova campanha de ransomware LockBit Black (também conhecido como LockBit 3.0) que utiliza o botnet Phorpiex (também conhecido como Trik) como um canal para entregar mensagens de email contendo a carga útil de ransomware.

Estima-se que milhões de mensagens tenham sido enviadas durante a campanha de alto volume que começou em 24 de abril de 2024. Atualmente, não está claro quem está por trás do ataque.

“A amostra LockBit Black desta campanha provavelmente foi construída a partir do construtor LockBit que vazou durante o verão de 2023”, disseram os pesquisadores da Proofpoint.

“O construtor LockBit Black forneceu aos atores ameaçadores acesso a ransomware proprietário e sofisticado. A combinação disso com o duradouro botnet Phorpiex amplifica a escala de tais campanhas de ameaça e aumenta as chances de ataques bem-sucedidos de ransomware.”

Observações sobre o Grupo de Ransomware Mallox

Também foram observados ataques de ransomware forçando servidores Microsoft SQL a implantar o malware de criptografia de arquivos Mallox via um carregador baseado em .NET chamado PureCrypter, de acordo com a Sekoia.

Um grupo de ransomware fechado que opera na região europeia, Mallox é conhecido por ser distribuído desde pelo menos junho de 2021. Ele ganhou destaque no meio de 2022 após a transição para um modelo de ransomware como serviço (RaaS) e uma estratégia de dupla extorsão.

Duas diferentes personas online associadas ao grupo, chamadas Mallx e RansomR, foram observadas recrutando ativamente afiliados para a operação em vários fóruns clandestinos.

Análises adicionais do servidor de exfiltração de dados do ator ameaçador e de sua infraestrutura na dark web revelaram os nomes de diferentes membros “da equipe”, incluindo Admin, Suporte, Maestro, Equipe, Neuroframe, Panda, Grindr, Hiervos e Vampire.

“Mallox é quase certamente um conjunto de intrusão oportunista impactando organizações em vários setores, principalmente no de manufatura, varejo e tecnologia”, disse a empresa.

“Embora os representantes do Mallox busquem ativamente alvos de alta receita (como indicado em postagens de recrutamento em fóruns de crimes cibernéticos), a maioria das vítimas do ransomware conhecidas em fontes abertas são pequenas e médias empresas.”

Encontrou este artigo interessante? Siga-nos no Twitter e LinkedIn para ler mais conteúdos exclusivos que publicamos.

Você também pode gostar

Cibercriminosos Exploram GitHub e FileZilla para Distribuir Coquetel de Malware

Notícias de segurança desta semana: Vazamento misterioso expõe segredos de hackeamento chinês.

Operação Fim de Jogo da aplicação da lei internacional muda seu foco para adversários individuais.