O Talos Security Intelligence and Research Group, grupo de pesquisa da Cisco, descobriu recentemente uma série de documentos que podem ser parte de ciberataques coordenados que a empresa denominou como uma campanha Frankenstein devido à capacidade de reunir vários componentes não relacionados em uma coisa só. Isso porque os atacantes estão aproveitando quatro diferentes técnicas de código aberto para construir as ferramentas usadas durante a campanha, montando, assim, um "monstro" de vários pedaços. ?
Segundo o grupo Talos, a campanha usou instruções de um artigo para detectar quando sua amostra está sendo executada em uma VM (máquina virtual); um projeto do GitHub que aproveita o MSbuild para executar um comando do PowerShell; um componente de um projeto do GitHub chamado "Fruityc2" para construir um stager; e um projeto do GitHub chamado "PowerShell Empire".
Os invasores realizaram esses ataques entre janeiro e abril, tentando instalar um malware nas máquinas dos usuários por meio de documentos maliciosos. A atividade foi hiper-direcionada, pois havia um volume baixo desses documentos em vários repositórios de malware. Entre os vetores de infecção identificados estão o envio de documentos trojanizados do Microsoft Word, provavelmente por e-mail, sendo que um vetor depende de um documento que utiliza um modelo remoto e, em seguida, uma exploração conhecida, e o segundo vetor é um documento que solicita que a vítima habilite macros e execute um script em Visual Basic.
O grupo alerta ainda que a preferência por soluções de código aberto parece ser uma tendência ampla entre atacantes e que essas técnicas exigirão que os defensores de rede modifiquem suas posturas e procedimentos para detectar essa ameaça. ?
Recommended Comments
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.