Campanha Em Andamento Ataca Empresas com Emails e Chamadas de Telefone Spam – Virus Killer – Recuperação de Site Invadido por Vírus e Malware

Pesquisadores de cibersegurança descobriram uma campanha de engenharia social em andamento que bombardeia empresas com e-mails spam com o objetivo de obter acesso inicial aos ambientes deles para exploração posterior.

“O incidente envolve um ator de ameaça sobrecarregando o e-mail de um usuário com lixo e ligando para o usuário, oferecendo assistência”, disseram os pesquisadores da Rapid7 Tyler McGraw, Thomas Elkins e Evan McCann.

“O ator de ameaça incentiva os usuários afetados a baixar software de monitoramento e gerenciamento remoto como AnyDesk ou utilizar o recurso de Assistência Rápida incorporado ao Microsoft para estabelecer uma conexão remota.”

A nova campanha está em andamento desde o final de abril de 2024, com os e-mails consistindo principalmente de mensagens de confirmação de inscrição em newsletters de organizações legítimas e feitas com o objetivo de sobrecarregar as soluções de proteção de e-mail.

Os usuários afetados são então abordados por chamadas telefônicas se passando pela equipe de TI da empresa, enganando-os para instalar um software de desktop remoto sob o pretexto de resolver os problemas de e-mail.

O acesso remoto ao computador deles é posteriormente utilizado para baixar cargas adicionais para colher credenciais e manter persistência nos hosts.

Isso é feito por meio da execução de vários scripts em lote, um dos quais também estabelece contato com um servidor de comando e controle (C2) para baixar uma cópia legítima do OpenSSH para Windows e, por fim, lançar um shell reverso para o servidor.

Em um incidente observado pela empresa de cibersegurança, os atores de ameaça por trás da campanha tentaram, sem sucesso, implantar beacons do Cobalt Strike em outros ativos dentro da rede comprometida.

Embora não haja evidências de ransomware sendo executado como parte da campanha, a Rapid7 disse que a atividade se sobrepõe a indicadores de ataque previamente identificados associados aos operadores de ransomware Black Basta.

A cadeia de ataque também foi usada para entregar ferramentas adicionais de monitoramento e gerenciamento remoto como ConnectWise ScreenConnect, bem como um trojan de acesso remoto chamado NetSupport RAT, que foi recentemente utilizado por atores do grupo FIN7 como parte de uma campanha maliciosa.

Isso é especialmente significativo, considerando que os atores do FIN7 são suspeitos de ter laços estreitos com o Black Basta. Enquanto o FIN7 inicialmente usava malware de ponto de venda (PoS) para fraudes financeiras, ele desde então se voltou para operações de ransomware, seja como afiliado ou conduzindo suas próprias operações com os nomes DarkSide e BlackMatter.

“Após ganhar acesso com sucesso ao ativo comprometido, a Rapid7 observou o ator de ameaça tentando implantar beacons do Cobalt Strike, disfarçados como uma Biblioteca de Links Dinâmicos (DLL) legítima chamada 7z.DLL, em outros ativos dentro da mesma rede que o ativo comprometido usando o conjunto de ferramentas Impacket,” disse a Rapid7.

Distribuição de Phorpiex do LockBit Black

O desenvolvimento ocorre enquanto a Proofpoint revelou detalhes de uma nova campanha de ransomware LockBit Black (também conhecida como LockBit 3.0) que utiliza o botnet Phorpiex (também conhecido como Trik) como um canal para entregar mensagens de e-mail contendo a carga útil do ransomware.

Estima-se que milhões de mensagens tenham sido enviadas durante a campanha de alto volume que começou em 24 de abril de 2024. Atualmente não está claro quem está por trás do ataque.

“A amostra LockBit Black desta campanha provavelmente foi construída a partir do construtor LockBit que vazou durante o verão de 2023,” disseram os pesquisadores da Proofpoint.

“O construtor LockBit Black proporcionou aos atores de ameaça acesso a um ransomware proprietário e sofisticado. A combinação disso com o antigo botnet Phorpiex amplifica a escala dessas campanhas de ameaças e aumenta as chances de ataques bem-sucedidos de ransomware.”

Informações sobre o Grupo de Ransomware Mallox

Também foram observados ataques de ransomware forçando servidores Microsoft SQL a implantar o malware de criptografia de arquivos Mallox via um loader baseado em .NET chamado PureCrypter, de acordo com a Sekoia.

Um grupo de ransomware fechado que opera na região europeia, Mallox é conhecido por ser distribuído desde pelo menos junho de 2021. Ganhou destaque em meados de 2022 após sua transição para um modelo de ransomware como serviço (RaaS) e uma estratégia de dupla extorsão.

Duas personas online diferentes associadas ao grupo, Mallx e RansomR, foram observadas recrutando ativamente afiliados para a operação em vários fóruns clandestinos.

Uma análise mais aprofundada do servidor de exfiltração de dados do ator de ameaça e de sua infraestrutura dark web revelou os nomes de diferentes membros “da equipe”, incluindo Admin, Suporte, Maestro, Equipe, Neuroframe, Panda, Grindr, Hiervos e Vampiro.

“Mallox é quase certamente um conjunto invasivo oportunista impactando organizações em vários setores, especialmente os de manufatura, varejo e tecnologia,” disse a empresa.

“Embora os representantes do Mallox busquem ativamente alvos de alto faturamento (conforme indicado em postagens de recrutamento em fóruns de cibercrime), a maioria das vítimas do ransomware conhecidas em fontes abertas são pequenas e médias empresas.”

Você também pode gostar

Empresas de Energia Russas, Empresas de TI e Agências Governamentais Prejudicadas pelo Trojan Decoy Dog

Nova Vulnerabilidade de Wi-Fi Permite Espionagem de Rede por Ataques de Downgrade

Novos Truques no Livro de Truques de Phishing: Cloudflare Workers, HTML Smuggling, GenAI