🚨 NOVA NOTÍCIA EM DESTAQUE! 🚨
Leia, comente e fique sempre atualizado!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Pesquisadores de segurança cibernética divulgaram detalhes de uma nova campanha que aproveita uma combinação de engenharia social e sequestro de WhatsApp para distribuir um trojan bancário baseado em Delphi chamado Eternidade Stealer como parte de ataques direcionados a usuários no Brasil.
“Ele usa o Internet Message Access Protocol (IMAP) para recuperar dinamicamente endereços de comando e controle (C2), permitindo que o agente da ameaça atualize seu servidor C2”, disseram os pesquisadores do Trustwave SpiderLabs Nathaniel Morales, John Basmayor e Nikita Kazymirskyi em um detalhamento técnico da campanha compartilhado com o The Hacker News.
“Ele é distribuído por meio de uma campanha de worm do WhatsApp, com o ator agora implantando um script Python, uma mudança em relação aos scripts anteriores baseados em PowerShell para sequestrar o WhatsApp e espalhar anexos maliciosos.
As descobertas vêm logo após outra campanha chamada Water Saci, que tem como alvo os usuários brasileiros um worm que se propaga via WhatsApp Web conhecido como SORVEPOTEL, que então atua como um canal para o Maverick, um trojan bancário .NET que é avaliado como uma evolução de um malware bancário .NET chamado Coyote.
O cluster Eternidade Stealer faz parte de uma atividade mais ampla que tem abusado da onipresença do WhatsApp no país sul-americano para comprometer os sistemas das vítimas alvo e usar o aplicativo de mensagens como vetor de propagação para lançar ataques em larga escala contra instituições brasileiras.
Another notable trend is the continued preference for Delphi-based malware for threat actors targeting Latin America, largely driven not only because of its technical efficiency but also by the fact that the programming language was taught and used in software development in the region.
O ponto de partida do ataque é um script Visual Basic ofuscado, que apresenta comentários escritos principalmente em português. O script, uma vez executado, elimina um script em lote responsável por entregar duas cargas úteis, dividindo efetivamente a cadeia de infecção em duas -
Um script Python que aciona a disseminação do malware baseada na Web no WhatsApp de maneira semelhante a um worm
Um instalador MSI que utiliza um script AutoIt para iniciar o Eternidade Stealer
O script Python, semelhante ao SORVEPOTEL, estabelece comunicação com um servidor remoto e aproveita o projeto de código aberto WPPConnect para automatizar o envio de mensagens em contas sequestradas via WhatsApp. Para fazer isso, ele coleta toda a lista de contatos da vítima, enquanto filtra grupos, contatos comerciais e listas de transmissão.
O malware então captura, para cada contato, seu número de telefone do WhatsApp, nome e informações que sinalizam se ele é um contato salvo. Essas informações são enviadas ao servidor controlado pelo invasor por meio de uma solicitação HTTP POST. Na fase final, um anexo malicioso é enviado a todos os contatos na forma de anexo malicioso, utilizando um modelo de mensagens e preenchendo determinados campos com saudações e nomes de contato baseados em tempo.
A segunda etapa do ataque começa com o instalador do MSI descartando diversas cargas úteis, incluindo um script AutoIt que verifica se o sistema comprometido está baseado no Brasil, inspecionando se o idioma do sistema operacional é o português brasileiro. Caso contrário, o malware será encerrado automaticamente. Isso indica um esforço de segmentação hiperlocalizado por parte dos atores da ameaça.
Posteriormente, o script verifica os processos em execução e as chaves de registro para verificar a presença de produtos de segurança instalados. Ele também cria o perfil da máquina e envia os detalhes para um servidor de comando e controle (C2). O ataque culmina com o malware injetando a carga útil do Eternidade Stealer em “svchost.exe” usando o esvaziamento do processo.
Ladrão de credenciais baseado em Delphi, o Eternidade verifica continuamente janelas ativas e processos em execução em busca de strings relacionadas a portais bancários, serviços de pagamento e bolsas e carteiras de criptomoedas, como Bradesco, BTG Pactual, MercadoPago, Stripe, Binance, Coinbase, MetaMask e Trust Wallet, entre outros.
“Tal comportamento reflete uma tática clássica de banqueiro ou ladrão de sobreposição, onde componentes maliciosos permanecem inativos até que a vítima abra um aplicativo bancário ou de carteira direcionado, garantindo que o ataque seja acionado apenas em contextos relevantes e permaneça invisível para usuários casuais ou ambientes sandbox”, disseram os pesquisadores.
Assim que uma correspondência é encontrada, ele entra em contato com um servidor C2, cujos detalhes são obtidos em uma caixa de entrada vinculada a um endereço de e-mail terra.com[.]br, refletindo uma tática recentemente adotada por Water Saci. Isso permite que os atores da ameaça atualizem seu C2, mantenham a persistência e evitem detecções ou remoções. Caso o malware não consiga se conectar à conta de e-mail usando credenciais codificadas, ele usará um endereço C2 alternativo incorporado no código-fonte.
Assim que uma conexão bem-sucedida com o servidor for estabelecida, o malware aguarda
“Ele usa o Internet Message Access Protocol (IMAP) para recuperar dinamicamente endereços de comando e controle (C2), permitindo que o agente da ameaça atualize seu servidor C2”, disseram os pesquisadores do Trustwave SpiderLabs Nathaniel Morales, John Basmayor e Nikita Kazymirskyi em um detalhamento técnico da campanha compartilhado com o The Hacker News.
“Ele é distribuído por meio de uma campanha de worm do WhatsApp, com o ator agora implantando um script Python, uma mudança em relação aos scripts anteriores baseados em PowerShell para sequestrar o WhatsApp e espalhar anexos maliciosos.
As descobertas vêm logo após outra campanha chamada Water Saci, que tem como alvo os usuários brasileiros um worm que se propaga via WhatsApp Web conhecido como SORVEPOTEL, que então atua como um canal para o Maverick, um trojan bancário .NET que é avaliado como uma evolução de um malware bancário .NET chamado Coyote.
O cluster Eternidade Stealer faz parte de uma atividade mais ampla que tem abusado da onipresença do WhatsApp no país sul-americano para comprometer os sistemas das vítimas alvo e usar o aplicativo de mensagens como vetor de propagação para lançar ataques em larga escala contra instituições brasileiras.
Another notable trend is the continued preference for Delphi-based malware for threat actors targeting Latin America, largely driven not only because of its technical efficiency but also by the fact that the programming language was taught and used in software development in the region.
O ponto de partida do ataque é um script Visual Basic ofuscado, que apresenta comentários escritos principalmente em português. O script, uma vez executado, elimina um script em lote responsável por entregar duas cargas úteis, dividindo efetivamente a cadeia de infecção em duas -
Um script Python que aciona a disseminação do malware baseada na Web no WhatsApp de maneira semelhante a um worm
Um instalador MSI que utiliza um script AutoIt para iniciar o Eternidade Stealer
O script Python, semelhante ao SORVEPOTEL, estabelece comunicação com um servidor remoto e aproveita o projeto de código aberto WPPConnect para automatizar o envio de mensagens em contas sequestradas via WhatsApp. Para fazer isso, ele coleta toda a lista de contatos da vítima, enquanto filtra grupos, contatos comerciais e listas de transmissão.
O malware então captura, para cada contato, seu número de telefone do WhatsApp, nome e informações que sinalizam se ele é um contato salvo. Essas informações são enviadas ao servidor controlado pelo invasor por meio de uma solicitação HTTP POST. Na fase final, um anexo malicioso é enviado a todos os contatos na forma de anexo malicioso, utilizando um modelo de mensagens e preenchendo determinados campos com saudações e nomes de contato baseados em tempo.
A segunda etapa do ataque começa com o instalador do MSI descartando diversas cargas úteis, incluindo um script AutoIt que verifica se o sistema comprometido está baseado no Brasil, inspecionando se o idioma do sistema operacional é o português brasileiro. Caso contrário, o malware será encerrado automaticamente. Isso indica um esforço de segmentação hiperlocalizado por parte dos atores da ameaça.
Posteriormente, o script verifica os processos em execução e as chaves de registro para verificar a presença de produtos de segurança instalados. Ele também cria o perfil da máquina e envia os detalhes para um servidor de comando e controle (C2). O ataque culmina com o malware injetando a carga útil do Eternidade Stealer em “svchost.exe” usando o esvaziamento do processo.
Ladrão de credenciais baseado em Delphi, o Eternidade verifica continuamente janelas ativas e processos em execução em busca de strings relacionadas a portais bancários, serviços de pagamento e bolsas e carteiras de criptomoedas, como Bradesco, BTG Pactual, MercadoPago, Stripe, Binance, Coinbase, MetaMask e Trust Wallet, entre outros.
“Tal comportamento reflete uma tática clássica de banqueiro ou ladrão de sobreposição, onde componentes maliciosos permanecem inativos até que a vítima abra um aplicativo bancário ou de carteira direcionado, garantindo que o ataque seja acionado apenas em contextos relevantes e permaneça invisível para usuários casuais ou ambientes sandbox”, disseram os pesquisadores.
Assim que uma correspondência é encontrada, ele entra em contato com um servidor C2, cujos detalhes são obtidos em uma caixa de entrada vinculada a um endereço de e-mail terra.com[.]br, refletindo uma tática recentemente adotada por Water Saci. Isso permite que os atores da ameaça atualizem seu C2, mantenham a persistência e evitem detecções ou remoções. Caso o malware não consiga se conectar à conta de e-mail usando credenciais codificadas, ele usará um endereço C2 alternativo incorporado no código-fonte.
Assim que uma conexão bem-sucedida com o servidor for estabelecida, o malware aguarda
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #worm #whatsapp #baseado #em #python #espalha #eternidade #stealer #em #dispositivos #brasileiros
⚡ Fique ligado: novidades e promoções em breve por aqui! ⚡
Postar um comentário