Você está visualizando atualmente Campanha Em Andamento Bombardeia Empresas Com E-mails de Spam e Chamadas Telefônicas

Campanha Em Andamento Bombardeia Empresas Com E-mails de Spam e Chamadas Telefônicas

Pesquisadores de segurança cibernética descobriram uma campanha de engenharia social em andamento que bombardeia empresas com e-mails de spam com o objetivo de obter acesso inicial aos ambientes deles para uma exploração posterior.

“O incidente envolve um ator de ameaças sobrecarregando o e-mail de um usuário com lixo e ligando para o usuário, oferecendo assistência”, disseram os pesquisadores Tyler McGraw, Thomas Elkins e Evan McCann da Rapid7.

“O ator de ameaça faz com que os usuários afetados baixem software de monitoramento e gerenciamento remoto como AnyDesk ou utilizem o recurso Quick Assist embarcado da Microsoft para estabelecer uma conexão remota”.

A nova campanha está em andamento desde o final de abril de 2024, com os e-mails consistindo principalmente de mensagens de confirmação de inscrição em boletins informativos de organizações legítimas e feitos com o objetivo de sobrecarregar as soluções de proteção de e-mail.

Os usuários afetados são então abordados por chamadas telefônicas se passando pela equipe de TI da empresa, enganando-os para instalar um software de mesa remota sob o disfarce de resolver os problemas de e-mail.

O acesso remoto ao computador deles é posteriormente utilizado para baixar cargas adicionais para coletar credenciais e manter a persistência nos hosts.

Isso é feito por meio da execução de vários scripts em lotes, um dos quais também estabelece contato com um servidor de comando e controle (C2) para baixar uma cópia legítima do OpenSSH para Windows e, por fim, lançar um shell reverso para o servidor.

Em um incidente observado pela empresa de segurança cibernética, os atores de ameaças por trás da campanha tentaram sem sucesso implantar beacons do Cobalt Strike em outros ativos dentro da rede comprometida.

Embora não haja evidências de ransomware sendo executado como parte da campanha, a Rapid7 disse que a atividade se sobrepõe a indicadores de ataque previamente identificados associados aos operadores do ransomware Black Basta.

A cadeia de ataque também foi usada para entregar ferramentas adicionais de monitoramento e gerenciamento remoto como o ConnectWise ScreenConnect, bem como um cavalo de Troia de acesso remoto chamado NetSupport RAT, que foi recentemente utilizado por atores do FIN7 como parte de uma campanha de malvertising.

Isso é especialmente relevante considerando o fato de que os atores do FIN7 são suspeitos de ter laços estreitos com o Black Basta. Enquanto o FIN7 inicialmente usava malware de ponto de venda (PoS) para realizar fraudes financeiras, ele passou a operações de ransomware, seja na capacidade de afiliado ou conduzindo suas próprias operações sob os nomes DarkSide e BlackMatter.

“Depois de obter acesso com sucesso ao ativo comprometido, a Rapid7 observou o ator de ameaça tentando implantar beacons do Cobalt Strike, disfarçados como uma Biblioteca de Vínculo Dinâmico (DLL) legítima chamada 7z.DLL, a outros ativos dentro da mesma rede que o ativo comprometido usando o conjunto de ferramentas Impacket”, disse Rapid7.

Distribuição do Phorpiex LockBit Black

O desenvolvimento ocorre enquanto a Proofpoint revelou detalhes de uma nova campanha de ransomware LockBit Black (também conhecida como LockBit 3.0) que utiliza o botnet Phorpiex (também conhecido como Trik) como um conduto para entregar mensagens de e-mail contendo a carga útil de ransomware.

Estima-se que milhões de mensagens foram enviadas durante a campanha de alto volume que começou em 24 de abril de 2024. Atualmente não está claro quem está por trás do ataque.

“A amostra do LockBit Black desta campanha provavelmente foi construída a partir do construtor do LockBit que vazou durante o verão de 2023”, disseram os pesquisadores da Proofpoint.

“O construtor do LockBit Black forneceu aos atores de ameaça acesso a um ransomware proprietário e sofisticado. A combinação disso com o botnet Phorpiex amplifica a escala de tais campanhas de ameaças e aumenta as chances de ataques ransomware bem-sucedidos”.

Insights sobre o grupo de ransomware Mallox

Também foram observados ataques de ransomware forçando servidores Microsoft SQL a implantar o malware de criptografia de arquivos Mallox por meio de um carregador baseado em .NET chamado PureCrypter, de acordo com a Sekoia.

Um grupo de ransomware fechado que opera na região europeia, o Mallox é conhecido por ser distribuído desde pelo menos junho de 2021. Ganhou destaque no meio de 2022 após sua transição para um modelo de ransomware como serviço (RaaS) e uma estratégia de dupla extorsão.

Duas diferentes personas online associadas ao grupo, chamadas Mallx e RansomR, têm sido observadas recrutando ativamente afiliados para a operação em vários fóruns underground.

Uma análise mais aprofundada do servidor de exfiltração de dados do ator de ameaça e de sua infraestrutura na dark web revelou os nomes de diferentes “membros” da “equipe”, incluindo Admin, Suporte, Maestro, Equipe, Neuroframe, Panda, Grindr, Hierovos e Vampire.

“O Mallox é quase certamente um conjunto de intrusões oportunista que impacta organizações em vários setores, principalmente os de manufatura, varejo e tecnologia”, disse a empresa. “Embora os representantes do Mallox busquem ativamente alvos de alta receita (como indicado em postagens de recrutamento em fóruns de crime cibernético), a maioria das vítimas do ransomware conhecidas em fontes abertas é composta por pequenas e médias empresas”.