📰 Informação fresquinha chegando para você!
Leia, comente e fique sempre atualizado!
Apoie o projeto e divulgue suas redes! Clique aqui
Os pesquisadores de segurança cibernética detalharam o funcionamento interno de um Trojan bancário do Android chamado ERMAC 3.0, descobrindo graves deficiências na infraestrutura dos operadores.
"A versão 3.0 recém -descoberta revela uma evolução significativa do malware, expandindo seus recursos de injeção de formulário e roubo de dados para direcionar mais de 700 aplicativos bancários, compras e criptomoedas", disse Hunt.io em um relatório.
O ERMAC foi documentado pela AmeaMFabric em setembro de 2021, detalhando sua capacidade de realizar ataques de sobreposição contra centenas de aplicativos bancários e de criptomoeda em todo o mundo. Atribuído a um ator de ameaças chamado Dukeeugene, é avaliado como uma evolução de Cerberus e Blackrock.
Outras famílias de malware comumente observadas - incluindo gancho (ERMAC 2.0), Pegasus e saques - possuem uma linhagem compartilhada: um ancestral na forma de ERMAC, do qual os componentes do código -fonte foram transmitidos e modificados por gerações.
A Hunt.io disse que conseguiu obter o código-fonte completo associado à oferta de malware como serviço (MAAS) de um diretório aberto em 141.164.62 [.] 236: 443, até o seu PHP e o back-end de Laravel, o front-end de Golang Exfiltration e o painel Builder Android.
As funções de cada um dos componentes estão listadas abaixo -
Servidor de back -end C2 - fornece aos operadores a capacidade de gerenciar dispositivos de vítimas e acessar dados comprometidos, como logs de SMS, contas roubadas e dados do dispositivo
Painel de front -end - permite que os operadores interajam com dispositivos conectados emitindo comandos, gerenciando sobreposições e acessar dados roubados
EXFILTRATION Server - Um servidor de Golang usado para exfiltrar dados roubados e gerenciar informações relacionadas a dispositivos comprometidos
Ermac Backdoor - Um implante de Android escrito em Kotlin que oferece a capacidade de controlar o dispositivo comprometido e coletar dados sensíveis com base nos comandos recebidos do servidor C2, garantindo que as infecções não toquem dispositivos localizados na Commonwealth of Independent (CIS) nações
Ermac Builder - Uma ferramenta para ajudar os clientes a configurar e criar compilações para suas campanhas de malware, fornecendo o nome do aplicativo, o URL do servidor e outras configurações para o Android Backdoor
Além de um conjunto expandido de metas de aplicativos, o ERMAC 3.0 adiciona novos métodos de injeção de formulário, um painel revisado de comando e controle (C2), um novo backdoor do Android e comunicações criptografadas AES-CBC.
"O vazamento revelou fraquezas críticas, como um segredo JWT codificado e um token de portador de administrador estático, credenciais raiz padrão e registro de conta aberta no painel de administrador", afirmou a empresa. "Ao correlacionar essas falhas com a infraestrutura do ERMAC ao vivo, fornecemos aos defensores maneiras concretas de rastrear, detectar e interromper as operações ativas".
"A versão 3.0 recém -descoberta revela uma evolução significativa do malware, expandindo seus recursos de injeção de formulário e roubo de dados para direcionar mais de 700 aplicativos bancários, compras e criptomoedas", disse Hunt.io em um relatório.
O ERMAC foi documentado pela AmeaMFabric em setembro de 2021, detalhando sua capacidade de realizar ataques de sobreposição contra centenas de aplicativos bancários e de criptomoeda em todo o mundo. Atribuído a um ator de ameaças chamado Dukeeugene, é avaliado como uma evolução de Cerberus e Blackrock.
Outras famílias de malware comumente observadas - incluindo gancho (ERMAC 2.0), Pegasus e saques - possuem uma linhagem compartilhada: um ancestral na forma de ERMAC, do qual os componentes do código -fonte foram transmitidos e modificados por gerações.
A Hunt.io disse que conseguiu obter o código-fonte completo associado à oferta de malware como serviço (MAAS) de um diretório aberto em 141.164.62 [.] 236: 443, até o seu PHP e o back-end de Laravel, o front-end de Golang Exfiltration e o painel Builder Android.
As funções de cada um dos componentes estão listadas abaixo -
Servidor de back -end C2 - fornece aos operadores a capacidade de gerenciar dispositivos de vítimas e acessar dados comprometidos, como logs de SMS, contas roubadas e dados do dispositivo
Painel de front -end - permite que os operadores interajam com dispositivos conectados emitindo comandos, gerenciando sobreposições e acessar dados roubados
EXFILTRATION Server - Um servidor de Golang usado para exfiltrar dados roubados e gerenciar informações relacionadas a dispositivos comprometidos
Ermac Backdoor - Um implante de Android escrito em Kotlin que oferece a capacidade de controlar o dispositivo comprometido e coletar dados sensíveis com base nos comandos recebidos do servidor C2, garantindo que as infecções não toquem dispositivos localizados na Commonwealth of Independent (CIS) nações
Ermac Builder - Uma ferramenta para ajudar os clientes a configurar e criar compilações para suas campanhas de malware, fornecendo o nome do aplicativo, o URL do servidor e outras configurações para o Android Backdoor
Além de um conjunto expandido de metas de aplicativos, o ERMAC 3.0 adiciona novos métodos de injeção de formulário, um painel revisado de comando e controle (C2), um novo backdoor do Android e comunicações criptografadas AES-CBC.
"O vazamento revelou fraquezas críticas, como um segredo JWT codificado e um token de portador de administrador estático, credenciais raiz padrão e registro de conta aberta no painel de administrador", afirmou a empresa. "Ao correlacionar essas falhas com a infraestrutura do ERMAC ao vivo, fornecemos aos defensores maneiras concretas de rastrear, detectar e interromper as operações ativas".
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #ermac #v3.0 #banking #trojan #código #fonte #de #vazamento #expõe #infraestrutura #completa #de #malware
🔔 Siga-nos para não perder nenhuma atualização!
Postar um comentário