Jump to content
  • Sign in to follow this  

    Documentos maliciosos formam um Frankenstein


    Bruna Chieco

    O Talos Security Intelligence and Research Group, grupo de pesquisa da Cisco, descobriu recentemente uma série de documentos que podem ser parte de ciberataques coordenados que a empresa denominou como uma campanha Frankenstein devido à capacidade de reunir vários componentes não relacionados em uma coisa só. Isso porque os atacantes estão aproveitando quatro diferentes técnicas de código aberto para construir as ferramentas usadas durante a campanha, montando, assim, um "monstro" de vários pedaços. 👾

    Segundo o grupo Talos, a campanha usou instruções de um artigo para detectar quando sua amostra está sendo executada em uma VM (máquina virtual); um projeto do GitHub que aproveita o MSbuild para executar um comando do PowerShell; um componente de um projeto do  GitHub chamado "Fruityc2" para construir um stager; e um projeto do GitHub chamado "PowerShell Empire".

    Os invasores realizaram esses ataques entre janeiro e abril, tentando instalar um malware nas máquinas dos usuários por meio de documentos maliciosos. A atividade foi hiper-direcionada, pois havia um volume baixo desses documentos em vários repositórios de malware. Entre os vetores de infecção identificados estão o envio de documentos trojanizados do Microsoft Word, provavelmente por e-mail, sendo que um vetor depende de um documento que utiliza um modelo remoto e, em seguida, uma exploração conhecida, e o segundo vetor é um documento que solicita que a vítima habilite macros e execute um script em Visual Basic. 

    O grupo alerta ainda que a preferência por soluções de código aberto parece ser uma tendência ampla entre atacantes e que essas técnicas exigirão que os defensores de rede modifiquem suas posturas e procedimentos para detectar essa ameaça. 😬

    Sign in to follow this  


    User Feedback

    Recommended Comments

    Sei... MSBuild e PowerShell agora viraram "código aberto"... tá... ok...

    Aliás... MSBuild, MS Word e PowerShell... código aberto... a-hã! Tá...

    Share this comment


    Link to comment
    Share on other sites

    Que texto vc leu? Pq nesse aqui não vi essa parte que fala que o MSBuild, MS Word e PowerShell são de código aberto!

    Share this comment


    Link to comment
    Share on other sites


    Join the conversation

    You can post now and register later. If you have an account, sign in now to post with your account.

    Guest
    Add a comment...

    ×   Pasted as rich text.   Paste as plain text instead

      Only 75 emoji are allowed.

    ×   Your link has been automatically embedded.   Display as a link instead

    ×   Your previous content has been restored.   Clear editor

    ×   You cannot paste images directly. Upload or insert images from URL.


×
×
  • Create New...