📰 Informação fresquinha chegando para você!
Confira agora e compartilhe com seus amigos!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Os caçadores de ameaças descobriram semelhanças entre um malware bancário chamado Coyote e um programa malicioso recém-divulgado chamado Maverick, que foi propagado via WhatsApp.
De acordo com um relatório da CyberProof, ambas as variedades de malware são escritas em .NET, têm como alvo usuários e bancos brasileiros e apresentam funcionalidade idêntica para descriptografar, visando URLs bancários e monitorando aplicativos bancários. Mais importante ainda, ambos incluem a capacidade de propagação através do WhatsApp Web.
Maverick foi documentado pela primeira vez pela Trend Micro no início do mês passado, atribuindo-o a um ator de ameaça chamado Water Saci. A campanha envolve dois componentes: Um malware de autopropagação conhecido como SORVEPOTEL, que se espalha pela versão web para desktop do WhatsApp e é usado para entregar um arquivo ZIP contendo a carga útil do Maverick.
O malware foi projetado para monitorar as guias ativas das janelas do navegador em busca de URLs que correspondam a uma lista codificada de instituições financeiras na América Latina. Caso os URLs correspondam, ele estabelece contato com um servidor remoto para buscar comandos subsequentes para coletar informações do sistema e exibir páginas de phishing para roubar credenciais.
A empresa de segurança cibernética Sophos, em um relatório subsequente, foi a primeira a levantar a possibilidade de a atividade estar relacionada a campanhas relatadas anteriormente que divulgaram o Coyote visando usuários no Brasil e se o Maverick é uma evolução do Coyote. Outra análise da Kaspersky descobriu que o Maverick continha muitas sobreposições de código com o Coyote, mas observou que o trata como uma ameaça completamente nova que visa o Brasil em massa.
As últimas descobertas do CyberProof mostram que o arquivo ZIP contém um atalho do Windows (LNK) que, quando iniciado pelo usuário, executa cmd.exe ou PowerShell para se conectar a um servidor externo (“zapgrande[.]com”) para baixar a carga útil do primeiro estágio. O script do PowerShell é capaz de iniciar ferramentas intermediárias projetadas para desabilitar o Microsoft Defender Antivirus e o UAC, bem como recuperar um carregador .NET.
O carregador, por sua vez, conta com técnicas de anti-análise para verificar a presença de ferramentas de engenharia reversa e auto-terminar caso sejam encontradas. O carregador então baixa os principais módulos do ataque: SORVEPOTEL e Maverick. Vale ressaltar aqui que o Maverick só é instalado após garantir que a vítima está localizada no Brasil, verificando fuso horário, idioma, região e formato de data e hora do host infectado.
A CyberProof disse que também encontrou evidências de que o malware está sendo usado para destacar hotéis no Brasil, indicando uma possível expansão da segmentação.
A divulgação ocorre no momento em que a Trend Micro detalha a nova cadeia de ataque da Water Saci que emprega uma infraestrutura de comando e controle (C2) baseada em e-mail, depende da persistência multivetorial para resiliência e incorpora várias verificações avançadas para evitar a detecção, melhorar a furtividade operacional e restringir a execução apenas a sistemas de língua portuguesa.
“A nova cadeia de ataque também apresenta um sofisticado sistema de comando e controle remoto que permite aos atores da ameaça o gerenciamento em tempo real, incluindo pausar, retomar e monitorar a campanha do malware, convertendo efetivamente as máquinas infectadas em uma ferramenta de botnet para operações dinâmicas e coordenadas em vários endpoints”, disse a empresa de segurança cibernética em um relatório publicado no final do mês passado.
Nova cadeia de ataque do Water Saci observada
A sequência de infecção evita binários .NET em favor do Visual Basic Script (VB Script) e do PowerShell para sequestrar sessões do navegador WhatsApp e espalhar o arquivo ZIP por meio do aplicativo de mensagens. Semelhante à cadeia de ataque anterior, o sequestro do WhatsApp Web é realizado baixando o ChromeDriver e o Selenium para automação do navegador.
O ataque é desencadeado quando um usuário baixa e extrai o arquivo ZIP, que inclui um downloader VBS ofuscado (“Orcamento.vbs” também conhecido como SORVEPOTEL), que, por sua vez, emite um comando do PowerShell para baixar e executar um script do PowerShell (“tadeu.ps1”) diretamente na memória.
Este script do PowerShell é usado para assumir o controle da sessão do WhatsApp Web da vítima e distribuir os arquivos ZIP maliciosos para todos os contatos associados à sua conta, ao mesmo tempo que exibe um banner enganoso chamado “WhatsApp Automation v6.0” para ocultar sua intenção maliciosa. Além disso, o script contata um servidor C2 para buscar modelos de mensagens e exfiltrar listas de contatos.
“Depois de encerrar quaisquer processos existentes do Chrome e limpar sessões antigas para garantir uma operação limpa, o malware copia os dados legítimos do perfil do Chrome da vítima para seu espaço de trabalho temporário”, disse a Trend Micro. "Esses dados incluem cookies, tokens de autenticação e a sessão salva do navegador."
Cronograma da campanha Água Saci
“Essa técnica permite que o malware contorne totalmente a autenticação do WhatsApp Web, obtendo acesso imediato à conta do WhatsApp da vítima sem acionar alertas de segurança.
De acordo com um relatório da CyberProof, ambas as variedades de malware são escritas em .NET, têm como alvo usuários e bancos brasileiros e apresentam funcionalidade idêntica para descriptografar, visando URLs bancários e monitorando aplicativos bancários. Mais importante ainda, ambos incluem a capacidade de propagação através do WhatsApp Web.
Maverick foi documentado pela primeira vez pela Trend Micro no início do mês passado, atribuindo-o a um ator de ameaça chamado Water Saci. A campanha envolve dois componentes: Um malware de autopropagação conhecido como SORVEPOTEL, que se espalha pela versão web para desktop do WhatsApp e é usado para entregar um arquivo ZIP contendo a carga útil do Maverick.
O malware foi projetado para monitorar as guias ativas das janelas do navegador em busca de URLs que correspondam a uma lista codificada de instituições financeiras na América Latina. Caso os URLs correspondam, ele estabelece contato com um servidor remoto para buscar comandos subsequentes para coletar informações do sistema e exibir páginas de phishing para roubar credenciais.
A empresa de segurança cibernética Sophos, em um relatório subsequente, foi a primeira a levantar a possibilidade de a atividade estar relacionada a campanhas relatadas anteriormente que divulgaram o Coyote visando usuários no Brasil e se o Maverick é uma evolução do Coyote. Outra análise da Kaspersky descobriu que o Maverick continha muitas sobreposições de código com o Coyote, mas observou que o trata como uma ameaça completamente nova que visa o Brasil em massa.
As últimas descobertas do CyberProof mostram que o arquivo ZIP contém um atalho do Windows (LNK) que, quando iniciado pelo usuário, executa cmd.exe ou PowerShell para se conectar a um servidor externo (“zapgrande[.]com”) para baixar a carga útil do primeiro estágio. O script do PowerShell é capaz de iniciar ferramentas intermediárias projetadas para desabilitar o Microsoft Defender Antivirus e o UAC, bem como recuperar um carregador .NET.
O carregador, por sua vez, conta com técnicas de anti-análise para verificar a presença de ferramentas de engenharia reversa e auto-terminar caso sejam encontradas. O carregador então baixa os principais módulos do ataque: SORVEPOTEL e Maverick. Vale ressaltar aqui que o Maverick só é instalado após garantir que a vítima está localizada no Brasil, verificando fuso horário, idioma, região e formato de data e hora do host infectado.
A CyberProof disse que também encontrou evidências de que o malware está sendo usado para destacar hotéis no Brasil, indicando uma possível expansão da segmentação.
A divulgação ocorre no momento em que a Trend Micro detalha a nova cadeia de ataque da Water Saci que emprega uma infraestrutura de comando e controle (C2) baseada em e-mail, depende da persistência multivetorial para resiliência e incorpora várias verificações avançadas para evitar a detecção, melhorar a furtividade operacional e restringir a execução apenas a sistemas de língua portuguesa.
“A nova cadeia de ataque também apresenta um sofisticado sistema de comando e controle remoto que permite aos atores da ameaça o gerenciamento em tempo real, incluindo pausar, retomar e monitorar a campanha do malware, convertendo efetivamente as máquinas infectadas em uma ferramenta de botnet para operações dinâmicas e coordenadas em vários endpoints”, disse a empresa de segurança cibernética em um relatório publicado no final do mês passado.
Nova cadeia de ataque do Water Saci observada
A sequência de infecção evita binários .NET em favor do Visual Basic Script (VB Script) e do PowerShell para sequestrar sessões do navegador WhatsApp e espalhar o arquivo ZIP por meio do aplicativo de mensagens. Semelhante à cadeia de ataque anterior, o sequestro do WhatsApp Web é realizado baixando o ChromeDriver e o Selenium para automação do navegador.
O ataque é desencadeado quando um usuário baixa e extrai o arquivo ZIP, que inclui um downloader VBS ofuscado (“Orcamento.vbs” também conhecido como SORVEPOTEL), que, por sua vez, emite um comando do PowerShell para baixar e executar um script do PowerShell (“tadeu.ps1”) diretamente na memória.
Este script do PowerShell é usado para assumir o controle da sessão do WhatsApp Web da vítima e distribuir os arquivos ZIP maliciosos para todos os contatos associados à sua conta, ao mesmo tempo que exibe um banner enganoso chamado “WhatsApp Automation v6.0” para ocultar sua intenção maliciosa. Além disso, o script contata um servidor C2 para buscar modelos de mensagens e exfiltrar listas de contatos.
“Depois de encerrar quaisquer processos existentes do Chrome e limpar sessões antigas para garantir uma operação limpa, o malware copia os dados legítimos do perfil do Chrome da vítima para seu espaço de trabalho temporário”, disse a Trend Micro. "Esses dados incluem cookies, tokens de autenticação e a sessão salva do navegador."
Cronograma da campanha Água Saci
“Essa técnica permite que o malware contorne totalmente a autenticação do WhatsApp Web, obtendo acesso imediato à conta do WhatsApp da vítima sem acionar alertas de segurança.
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #malware #do #whatsapp #‘maverick’ #sequestra #sessões #do #navegador #para #atingir #os #maiores #bancos #do #brasil
🎉 Obrigado por acompanhar, até a próxima notícia!
Postar um comentário