Campanha Phishing com Parceira Desagradável.

Publicado por Igor Matsunaga em

Uma onda de e-mails phishing, estão sendo enviados pelo mundo. Porém não se trata de uma simples campanha de phishing, este novo ataque, utiliza-se de anexos do Word onde o mesmo utiliza-se de macros infectados com ransomware. Parceria desagradável para as vítimas.

Está nova campanha foi divulgada pelos pesquisadores do Carbon Black. Este ataque atingiu sistemas com uma combinação letal, que coleta credenciais, reúne informações sobre o sistema e processos e criptografa dados para extorsão das vítimas. Não é mole não!

O ataque originou-se através de e-mails de phishing que continham documento do Word anexado com macros incorporadas. A macro chamaria um script PowerShell codificado e usaria uma série de técnicas para baixar e executar tanto uma variante de malware Ursnif quanto uma variante de ransomware GandCrab.

logoNSW

A campanha parece ter começado a atacar as vítimas em 17 de dezembro, disseram pesquisadores do Carbon Black . Houve um par de diferentes bolsões de atividade observados a cada semana desde então, eles disseram.


“A campanha parece estar em andamento, já que estamos vendo cargas adicionais sendo postadas em pastebin.com que são quase idênticas às cargas que foram aproveitadas para os dados extraídos de nossa análise dessas amostras”


Jared Myers, pesquisador sênior de ameaças da Carbon Black

O Ataque


Os e-mails iniciais de phishing incluíam um documento do Microsoft Word para entregar os primeiros estágios do ataque.


“O ataque geral aproveita várias abordagens diferentes, que são técnicas populares entre os red-teamers, adversários focados na espionagem e campanhas criminosas em grande escala”


disseram os pesquisadores do Carbon Black

Esses documentos continham um macro VBS que, uma vez descompactada, totalizava aproximadamente 650 linhas de código. Curiosamente, a grande maioria disso era código de lixo eletrônico – e uma vez que foi removido, havia cerca de 18 linhas de código relevante.

A partir daí um script do PowerShell foi baixado e executado, que contatou um endereço de comando e controle (C2) embutido, solicitando duas sequências de código: o método DownloadString, que faz o download do ransomware GandCrab e o método DownloadData, que eventualmente, baixa o malware Ursnif.

O ransomware GandCrab foi detectado em várias campanhas no ano passado, incluindo em sites legítimos de forma oculta, mas comprometendo e infectando vítimas através de uma campanha de sextituição de dezembro .

“A primeira carga útil transferida por download pelo método DownloadString… é um one-liner do PowerShell que usa uma instrução ‘if’ para avaliar a arquitetura do sistema comprometido e, em seguida, faz o download de uma carga adicional de pastebin.com. Essa carga adicional é então executada na memória ”, disseram os pesquisadores.

O executável Ursnif, enquanto isso, é baixado do método DownloadData e, em seguida, executa uma série de atividades mal-intencionadas, como coleta de credenciais, coleta de informações de sistema e processo e implantação de amostras adicionais de malware.

Embora não haja dados adicionais disponíveis sobre o número de vítimas na campanha, os pesquisadores do Carbon Black disseram que localizaram cerca de 180 variantes de documentos do Word em estado selvagem.


“Não observamos onde um documento malicioso específico foi enviado a uma taxa mais alta para vítimas potenciais do que qualquer outro”


Jared Myers

No entanto, as variantes foram presumivelmente criadas em lotes que foram enviados para vítimas em potencial, portanto, dependendo da eficácia dos e-mails de phishing, alguns podem parecer mais bem-sucedidos do que outros.

Que a segurança esteja com você!!

Fonte: https://threatpost.com/phishing-gandcrab-ursnif/141182/

[products limit=”16″ columns=”4″ best_selling=”1″]

Igor Matsunaga

Diretor Técnico da NSWorld, entusiasta da área hacking, desenvolvedor hacker ético, formado em Segurança da Informação.

0 comentário

Deixe um comentário

Avatar placeholder

O seu endereço de e-mail não será publicado.