📰 Informação fresquinha chegando para você!
Não deixe essa passar: clique e saiba tudo!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Pesquisadores de segurança cibernética divulgaram detalhes de uma nova campanha ClickFix que abusa de sites legÃtimos comprometidos para entregar um trojan de acesso remoto (RAT) anteriormente não documentado chamado MIMICRAT (também conhecido como AstarionRAT).
“A campanha demonstra um alto nÃvel de sofisticação operacional: sites comprometidos abrangendo vários setores e regiões geográficas servem como infraestrutura de entrega, uma cadeia PowerShell de vários estágios executa desvio de ETW e AMSI antes de descartar um carregador de shellcode com script Lua, e o implante final se comunica por HTTPS na porta 443 usando perfis HTTP que se assemelham ao tráfego legÃtimo de análise da web”, disse o Elastic Security Labs em um relatório de sexta-feira.
De acordo com a empresa de pesquisa corporativa e segurança cibernética, MIMICRAT é um RAT C++ personalizado com suporte para representação de token do Windows, tunelamento SOCKS5 e um conjunto de 22 comandos para recursos abrangentes de pós-exploração. A campanha foi descoberta no inÃcio deste mês.
Também foi avaliado o compartilhamento de sobreposições táticas e de infraestrutura com outra campanha ClickFix documentada pela Huntress que leva à implantação do carregador Matanbuchus 3.0, que então serve como um canal para o mesmo RAT. Suspeita-se que o objetivo final do ataque seja a implantação de ransomware ou exfiltração de dados.
Na sequência de infecção destacada pela Elastic, o ponto de entrada é o bincheck[.]io, um serviço legÃtimo de validação de número de identificação bancária (BIN) que foi violado para injetar código JavaScript malicioso responsável por carregar um script PHP hospedado externamente. O script PHP então entrega a isca ClickFix exibindo uma página falsa de verificação do Cloudflare e instruindo a vÃtima a copiar e colar um comando na caixa de diálogo Executar do Windows para resolver o problema.
Isso, por sua vez, leva à execução de um comando do PowerShell, que então entra em contato com um servidor de comando e controle (C2) para buscar um script do PowerShell de segundo estágio que corrige o log de eventos do Windows (ETW) e a verificação antivÃrus (AMSI) antes de descartar um carregador baseado em Lua. No estágio final, o script Lua descriptografa e executa na memória o shellcode que entrega MIMICRAT.
O Trojan usa HTTPS para se comunicar com o servidor C2, permitindo aceitar duas dúzias de comandos para controle de processos e sistemas de arquivos, acesso interativo ao shell, manipulação de token, injeção de shellcode e tunelamento de proxy SOCKS.
“A campanha suporta 17 idiomas, com o conteúdo da isca localizado dinamicamente com base nas configurações de idioma do navegador da vÃtima para ampliar seu alcance efetivo”, disse o pesquisador de segurança Salim Bitam. “As vÃtimas identificadas abrangem múltiplas regiões geográficas, incluindo uma universidade com sede nos EUA e vários utilizadores de lÃngua chinesa documentados em discussões em fóruns públicos, sugerindo um amplo alvo oportunista”.
“A campanha demonstra um alto nÃvel de sofisticação operacional: sites comprometidos abrangendo vários setores e regiões geográficas servem como infraestrutura de entrega, uma cadeia PowerShell de vários estágios executa desvio de ETW e AMSI antes de descartar um carregador de shellcode com script Lua, e o implante final se comunica por HTTPS na porta 443 usando perfis HTTP que se assemelham ao tráfego legÃtimo de análise da web”, disse o Elastic Security Labs em um relatório de sexta-feira.
De acordo com a empresa de pesquisa corporativa e segurança cibernética, MIMICRAT é um RAT C++ personalizado com suporte para representação de token do Windows, tunelamento SOCKS5 e um conjunto de 22 comandos para recursos abrangentes de pós-exploração. A campanha foi descoberta no inÃcio deste mês.
Também foi avaliado o compartilhamento de sobreposições táticas e de infraestrutura com outra campanha ClickFix documentada pela Huntress que leva à implantação do carregador Matanbuchus 3.0, que então serve como um canal para o mesmo RAT. Suspeita-se que o objetivo final do ataque seja a implantação de ransomware ou exfiltração de dados.
Na sequência de infecção destacada pela Elastic, o ponto de entrada é o bincheck[.]io, um serviço legÃtimo de validação de número de identificação bancária (BIN) que foi violado para injetar código JavaScript malicioso responsável por carregar um script PHP hospedado externamente. O script PHP então entrega a isca ClickFix exibindo uma página falsa de verificação do Cloudflare e instruindo a vÃtima a copiar e colar um comando na caixa de diálogo Executar do Windows para resolver o problema.
Isso, por sua vez, leva à execução de um comando do PowerShell, que então entra em contato com um servidor de comando e controle (C2) para buscar um script do PowerShell de segundo estágio que corrige o log de eventos do Windows (ETW) e a verificação antivÃrus (AMSI) antes de descartar um carregador baseado em Lua. No estágio final, o script Lua descriptografa e executa na memória o shellcode que entrega MIMICRAT.
O Trojan usa HTTPS para se comunicar com o servidor C2, permitindo aceitar duas dúzias de comandos para controle de processos e sistemas de arquivos, acesso interativo ao shell, manipulação de token, injeção de shellcode e tunelamento de proxy SOCKS.
“A campanha suporta 17 idiomas, com o conteúdo da isca localizado dinamicamente com base nas configurações de idioma do navegador da vÃtima para ampliar seu alcance efetivo”, disse o pesquisador de segurança Salim Bitam. “As vÃtimas identificadas abrangem múltiplas regiões geográficas, incluindo uma universidade com sede nos EUA e vários utilizadores de lÃngua chinesa documentados em discussões em fóruns públicos, sugerindo um amplo alvo oportunista”.
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #campanha #clickfix #abusa #de #sites #comprometidos #para #implantar #mimicrat #rat
🔔 Siga-nos para não perder nenhuma atualização!
Postar um comentário