Empresa de Energia colombiana e de metal estão sob ataque em nova onda de Trojans

A campanha, batizada de Operação Spalax , foi revelada por pesquisadores da ESET na terça-feira. 

Em uma postagem de blog, a empresa de segurança cibernética disse que o governo e entidades privadas da Colômbia estão sendo visados ​​exclusivamente pelos atores da ameaça, que parecem ter um interesse particular nas indústrias de energia e metalúrgica. 

A ESET começou a rastrear a campanha, que está em andamento, na segunda metade de 2020, quando pelo menos 24 endereços IP – dispositivos provavelmente comprometidos atuando como proxies para os servidores de comando e controle (C2) dos invasores – foram vinculados a uma enxurrada de ataques. 

Para iniciar a cadeia de infecção contra uma entidade alvo, os atores da ameaça usam um método tradicional: e-mails de phishing. Os assuntos dessas mensagens fraudulentas variam de demandas para comparecimento a audiências judiciais a avisos de congelamento de contas bancárias e notificações para fazer um teste COVID-19 obrigatório. 

Em algumas amostras, agências incluindo o Gabinete do Procurador-Geral (Fiscalia General de la Nacion) e a Direcção Nacional de Impostos e Alfândegas (DIAN) foram falsificadas.

Cada e-mail tem um arquivo .PDF anexado, vinculando a um arquivo .RAR. Se a vítima baixar o pacote – localizado no OneDrive, MediaFire e outros serviços de hospedagem – um arquivo executável dentro do malware dispara. 

Os atores da ameaça usam uma seleção de droppers e packers para implantar as cargas de Trojan, com o objetivo de todos executar um RAT injetando-o em um processo legítimo. 

As três cargas úteis estão disponíveis comercialmente e não foram desenvolvidas internamente pelos ciberataques. 

O primeiro é Remcos, malware disponível em fóruns clandestinos por apenas US $ 58 . O segundo RAT é o njRAT, um cavalo de Troia detectado mais recentemente em campanhas que usam o Pastebin como alternativa às estruturas C2, e o terceiro é o AsyncRAT, uma ferramenta de administração remota de código aberto. 

“Não há uma relação um-para-um entre conta-gotas e cargas úteis, pois vimos diferentes tipos de conta-gotas executando a mesma carga útil e também um único tipo de conta-gotas conectado a diferentes cargas”, observa a ESET. “No entanto, podemos afirmar que os droppers NSIS geralmente descartam Remcos, enquanto os empacotadores Agent Tesla e AutoIt normalmente descartam njRAT.”

Os RATs são capazes de fornecer controle de acesso remoto aos agentes da ameaça e também conter módulos para keylogging, captura de tela, coleta de conteúdo da área de transferência, exfiltração de dados e download e execução de malware adicional, entre outras funções. 

De acordo com a ESET, não há pistas concretas para atribuição, no entanto, existem algumas sobreposições com APTC36, também conhecido como Águia Cega. Este APT foi conectado a ataques em 2019 contra entidades colombianas com o objetivo de roubar informações confidenciais. 

O uso de serviços DNS dinâmicos pelo invasor significa que a infraestrutura da campanha também muda constantemente, com novos nomes de domínio sendo registrados para uso contra empresas colombianas regularmente. 

A ESET também observou links para pesquisas conduzidas pela Trend Micro em 2019 . As táticas de phishing são semelhantes, mas enquanto o relatório da Trend Micro se refere à espionagem e, potencialmente, ao direcionamento de contas financeiras, a ESET não detectou qualquer uso de cargas além da ciberespionagem. No entanto, a empresa reconhece que alguns dos alvos da campanha atual – incluindo uma agência de loteria – não parecem fazer sentido lógico apenas para atividades de espionagem. 

A empresa de segurança cibernética acrescentou que, devido à infraestrutura grande e em rápida mudança desta campanha, devemos esperar que esses ataques continuem na região em um futuro próximo. 

Fonte: https://www.zdnet.com/