Pesquisadores de segurança cibernética detectaram uma nova onda de ataques de phishing que visam entregar um ladrão de informações em constante evolução, conhecido como StrelaStealer.
As campanhas impactam mais de 100 organizações na UE e nos EUA, disseram pesquisadores da Unidade 42 da Palo Alto Networks em um novo relatório publicado hoje.
“Essas campanhas vêm na forma de e-mails de spam com anexos que eventualmente lançam a carga útil de DLL do StrelaStealer”, disse a empresa em um relatório publicado hoje.
“Na tentativa de evitar a detecção, os invasores alteram o formato inicial do arquivo anexo de e-mail de uma campanha para outra, para evitar a detecção de assinaturas ou padrões gerados anteriormente”.
Divulgado pela primeira vez em novembro de 2022, o StrelaStealer está equipado para desviar dados de login de e-mail de clientes de e-mail conhecidos e exfiltrá-los para um servidor controlado pelo invasor.
Desde então, duas campanhas em grande escala envolvendo o malware foram detectadas em novembro de 2023 e janeiro de 2024, visando os setores de alta tecnologia, finanças, profissionais e jurídicos, manufatura, governo, energia, seguros e construção na UE e nos EUA.
Esses ataques também visam fornecer uma nova variante do ladrão que inclui melhores técnicas de ofuscação e anti-análise, ao mesmo tempo em que é propagado por meio de e-mails com tema de fatura e anexos ZIP, marcando uma mudança em relação aos arquivos ISO.
Presente nos arquivos ZIP está um arquivo JavaScript que descarta um arquivo em lote, que, por sua vez, inicia a carga útil da DLL ladrão usando rundll32.exe, um componente legítimo do Home windows responsável pela execução de bibliotecas de hyperlink dinâmico de 32 bits.
O malware ladrão também depende de vários truques de ofuscação para dificultar a análise em ambientes em sandbox.
“A cada nova onda de campanhas de e-mail, os agentes de ameaças atualizam tanto o anexo do e-mail, que inicia a cadeia de infecção, quanto a própria carga de DLL”, disseram os pesquisadores.
A divulgação ocorre no momento em que a Symantec, de propriedade da Broadcom, revela que instaladores falsos de aplicativos conhecidos ou software program crackeado hospedados no GitHub, Mega ou Dropbox estão servindo como um canal para um malware ladrão conhecido como Stealc.
Campanhas de phishing também foram observadas entregando Revenge RAT e Remcos RAT (também conhecido como Rescoms), sendo este último entregue por meio de um cryptors-as-a-service (CaaS) chamado AceCryptor, por ESET.
“Durante a segunda metade de (2023), o Rescoms se tornou a família de malware mais prevalente empacotada pelo AceCryptor”, disse a empresa de segurança cibernética, citando dados de telemetria. “Mais de metade destas tentativas aconteceram na Polónia, seguida pela Sérvia, Espanha, Bulgária e Eslováquia.”
Outros malwares prontos para uso proeminentes incluídos no AceCryptor no segundo semestre de 2023 incluem SmokeLoader, STOP ransomware, RanumBot, Vidar, RedLine, Tofsee, Fareit, Pitou e Stealc. Vale a pena notar que muitas dessas variedades de malware também foram disseminadas através do PrivateLoader.
Descobriu-se que outro golpe de engenharia social observado pela Secureworks Counter Menace Unit (CTU) tem como alvo indivíduos que buscam informações sobre indivíduos recentemente falecidos em mecanismos de pesquisa com avisos de obituário falsos hospedados em websites falsos, direcionando tráfego para os websites por meio de envenenamento por otimização de mecanismo de pesquisa (website positioning). para, em última análise, enviar adware e outros programas indesejados.
“Os visitantes desses websites são redirecionados para websites de namoro eletrônico ou de entretenimento adulto ou são imediatamente apresentados a avisos CAPTCHA que instalam notificações push da internet ou anúncios pop-up quando clicados”, disse a empresa.
“As notificações exibem avisos falsos de alerta de vírus de aplicativos antivírus conhecidos, como McAfee e Home windows Defender, e persistem no navegador mesmo que a vítima clique em um dos botões”.
“Os botões direcionam para páginas de destino legítimas para programas de software program antivírus baseados em assinatura, e um ID de afiliado incorporado no hiperlink recompensa os agentes da ameaça por novas assinaturas ou renovações.”
Embora a atividade esteja atualmente limitada a encher os cofres dos fraudadores através de programas afiliados, as cadeias de ataque poderiam ser facilmente reaproveitadas para entregar ladrões de informações e outros programas maliciosos.
O desenvolvimento também segue a descoberta de um novo cluster de atividades rastreado como Fluffy Wolf que está capitalizando e-mails de phishing contendo um anexo executável para entregar um coquetel de ameaças, como MetaStealer, Warzone RAT, minerador XMRig e uma ferramenta legítima de desktop remoto chamada Distant Utilities.
A campanha é um sinal de que mesmo agentes de ameaças não qualificados podem aproveitar esquemas de malware como serviço (MaaS) para conduzir ataques bem-sucedidos em grande escala e saquear informações confidenciais, que podem então ser monetizadas ainda mais para obter lucro.
“Embora medíocres em termos de habilidades técnicas, esses agentes de ameaças atingem seus objetivos usando apenas dois conjuntos de ferramentas: serviços legítimos de acesso remoto e malware barato”, disse BI.ZONE.
