🔥 Fique por dentro das novidades mais quentes do momento! 🔥
Leia, comente e fique sempre atualizado!
Apoie esse projeto de divulgacao de noticias! Clique aqui
A operação de ransomware conhecida como LeakNet adotou a tática de engenharia social ClickFix entregue através de sites comprometidos como método de acesso inicial.
O uso do ClickFix, onde os usuários são induzidos a executar manualmente comandos maliciosos para resolver erros inexistentes, é um desvio da dependência de métodos tradicionais para obter acesso inicial, como por meio de credenciais roubadas adquiridas de corretores de acesso inicial (IABs), disse ReliaQuest em um relatório técnico publicado hoje.
O segundo aspecto importante desses ataques é o uso de um carregador de comando e controle (C2) estágio construÃdo no tempo de execução Deno JavaScript para executar cargas maliciosas diretamente na memória.
“A principal conclusão aqui é que ambos os caminhos de entrada levam sempre à mesma sequência pós-exploração repetÃvel”, disse a empresa de segurança cibernética. “Isso dá aos defensores algo concreto para trabalhar: comportamentos conhecidos que você pode detectar e interromper em cada estágio, bem antes da implantação do ransomware, independentemente de como o LeakNet entrou.”
A LeakNet surgiu pela primeira vez em novembro de 2024, descrevendo-se como um “cão de guarda digital” e enquadrando as suas atividades como centradas na liberdade e transparência na Internet. Segundo dados captados por Dragos, o grupo também tem como alvo entidades industriais.
O uso do ClickFix para vÃtimas de violação oferece diversas vantagens, sendo a mais significativa a redução da dependência de fornecedores terceirizados, a redução do custo de aquisição por vÃtima e a eliminação do gargalo operacional de espera pela chegada de contas valiosas ao mercado.
Nesses ataques, os sites legÃtimos, mas comprometidos, são usados para fornecer verificações falsas de CAPTCHA que instruem os usuários a copiar e colar um comando “msiexec.exe” na caixa de diálogo Executar do Windows. Os ataques não se limitam a uma indústria vertical especÃfica, mas lançam uma ampla rede para infectar o maior número possÃvel de vÃtimas.
O desenvolvimento ocorre à medida que mais agentes de ameaças estão adotando o manual ClickFix, pois ele abusa de fluxos de trabalho diários confiáveis para induzir os usuários a executar comandos não autorizados por meio de ferramentas legÃtimas do Windows de uma maneira que pareça rotineira e segura.
"A adoção do ClickFix pela LeakNet marca a primeira expansão documentada da capacidade de acesso inicial do grupo e uma mudança estratégica significativa", disse ReliaQuest.
"Ao se afastar dos IABs, o LeakNet remove uma dependência que naturalmente restringia a rapidez e a amplitude com que ele poderia operar. E como o ClickFix é entregue por meio de sites legÃtimos, mas comprometidos, ele não apresenta os mesmos sinais óbvios na camada de rede que a infraestrutura de propriedade do invasor."
Além do uso do ClickFix para iniciar a cadeia de ataque, avalia-se que o LeakNet usa um carregador baseado em Deno para executar JavaScript codificado em Base64 diretamente na memória, de modo a minimizar as evidências no disco e evitar a detecção. A carga útil é projetada para identificar o sistema comprometido, entrar em contato com um servidor externo para buscar malware de próximo estágio e entrar em um ciclo de pesquisa que busca e executa repetidamente código adicional por meio do Deno.
Separadamente, a ReliaQuest disse que também observou uma tentativa de invasão na qual os agentes de ameaças usaram phishing baseado no Microsoft Teams para projetar socialmente um usuário para lançar uma cadeia de carga útil que terminava em um carregador semelhante baseado em Deno. Embora a atividade permaneça não atribuÃda, o uso da abordagem traga seu próprio tempo de execução (BYOR) sinaliza uma ampliação dos vetores de acesso iniciais do LeakNet ou que outros atores de ameaças adotaram a técnica.
A atividade pós-comprometimento do LeakNet segue uma metodologia consistente: começa com o uso de carregamento lateral de DLL para lançar uma DLL maliciosa entregue através do carregador, seguido por movimento lateral usando PsExec, exfiltração de dados e criptografia.
“LeakNet executa cmd.exe /c klist, um comando interno do Windows que exibe credenciais de autenticação ativas no sistema comprometido. Isso informa ao invasor quais contas e serviços já estão acessÃveis sem a necessidade de solicitar novas credenciais, para que possam se mover de forma mais rápida e deliberada”, disse ReliaQuest.
“Para preparação e exfiltração, o LeakNet usa buckets S3, explorando a aparência do tráfego normal da nuvem para reduzir sua pegada de detecção.”
O desenvolvimento ocorre no momento em que o Google revela que Qilin (também conhecido como Agenda), Akira (também conhecido como RedBike), Cl0p, Play, SafePay, INC Ransom, Lynx, RansomHub, DragonForce (também conhecido como FireFlame e FuryStorm) e Sinobi emergiram como as 10 principais marcas de ransomware com o maior número de vÃtimas reivindicadas em seus sites de vazamento de dados.
“Em um terço dos incidentes, o vetor de acesso inicial foi confirmado ou suspeito de exploração de vulnerabilidades, mais frequentemente em VPNs e firewalls comuns”, disse o Google Threat Intelligence Group (GTIG), acrescentando que 77% das invasões de ransomware analisadas incluÃam suspeita de roubo de dados, um aumento de 57% em 2024.
"Apesar da turbulência contÃnua causada por conflitos entre atores e
O uso do ClickFix, onde os usuários são induzidos a executar manualmente comandos maliciosos para resolver erros inexistentes, é um desvio da dependência de métodos tradicionais para obter acesso inicial, como por meio de credenciais roubadas adquiridas de corretores de acesso inicial (IABs), disse ReliaQuest em um relatório técnico publicado hoje.
O segundo aspecto importante desses ataques é o uso de um carregador de comando e controle (C2) estágio construÃdo no tempo de execução Deno JavaScript para executar cargas maliciosas diretamente na memória.
“A principal conclusão aqui é que ambos os caminhos de entrada levam sempre à mesma sequência pós-exploração repetÃvel”, disse a empresa de segurança cibernética. “Isso dá aos defensores algo concreto para trabalhar: comportamentos conhecidos que você pode detectar e interromper em cada estágio, bem antes da implantação do ransomware, independentemente de como o LeakNet entrou.”
A LeakNet surgiu pela primeira vez em novembro de 2024, descrevendo-se como um “cão de guarda digital” e enquadrando as suas atividades como centradas na liberdade e transparência na Internet. Segundo dados captados por Dragos, o grupo também tem como alvo entidades industriais.
O uso do ClickFix para vÃtimas de violação oferece diversas vantagens, sendo a mais significativa a redução da dependência de fornecedores terceirizados, a redução do custo de aquisição por vÃtima e a eliminação do gargalo operacional de espera pela chegada de contas valiosas ao mercado.
Nesses ataques, os sites legÃtimos, mas comprometidos, são usados para fornecer verificações falsas de CAPTCHA que instruem os usuários a copiar e colar um comando “msiexec.exe” na caixa de diálogo Executar do Windows. Os ataques não se limitam a uma indústria vertical especÃfica, mas lançam uma ampla rede para infectar o maior número possÃvel de vÃtimas.
O desenvolvimento ocorre à medida que mais agentes de ameaças estão adotando o manual ClickFix, pois ele abusa de fluxos de trabalho diários confiáveis para induzir os usuários a executar comandos não autorizados por meio de ferramentas legÃtimas do Windows de uma maneira que pareça rotineira e segura.
"A adoção do ClickFix pela LeakNet marca a primeira expansão documentada da capacidade de acesso inicial do grupo e uma mudança estratégica significativa", disse ReliaQuest.
"Ao se afastar dos IABs, o LeakNet remove uma dependência que naturalmente restringia a rapidez e a amplitude com que ele poderia operar. E como o ClickFix é entregue por meio de sites legÃtimos, mas comprometidos, ele não apresenta os mesmos sinais óbvios na camada de rede que a infraestrutura de propriedade do invasor."
Além do uso do ClickFix para iniciar a cadeia de ataque, avalia-se que o LeakNet usa um carregador baseado em Deno para executar JavaScript codificado em Base64 diretamente na memória, de modo a minimizar as evidências no disco e evitar a detecção. A carga útil é projetada para identificar o sistema comprometido, entrar em contato com um servidor externo para buscar malware de próximo estágio e entrar em um ciclo de pesquisa que busca e executa repetidamente código adicional por meio do Deno.
Separadamente, a ReliaQuest disse que também observou uma tentativa de invasão na qual os agentes de ameaças usaram phishing baseado no Microsoft Teams para projetar socialmente um usuário para lançar uma cadeia de carga útil que terminava em um carregador semelhante baseado em Deno. Embora a atividade permaneça não atribuÃda, o uso da abordagem traga seu próprio tempo de execução (BYOR) sinaliza uma ampliação dos vetores de acesso iniciais do LeakNet ou que outros atores de ameaças adotaram a técnica.
A atividade pós-comprometimento do LeakNet segue uma metodologia consistente: começa com o uso de carregamento lateral de DLL para lançar uma DLL maliciosa entregue através do carregador, seguido por movimento lateral usando PsExec, exfiltração de dados e criptografia.
“LeakNet executa cmd.exe /c klist, um comando interno do Windows que exibe credenciais de autenticação ativas no sistema comprometido. Isso informa ao invasor quais contas e serviços já estão acessÃveis sem a necessidade de solicitar novas credenciais, para que possam se mover de forma mais rápida e deliberada”, disse ReliaQuest.
“Para preparação e exfiltração, o LeakNet usa buckets S3, explorando a aparência do tráfego normal da nuvem para reduzir sua pegada de detecção.”
O desenvolvimento ocorre no momento em que o Google revela que Qilin (também conhecido como Agenda), Akira (também conhecido como RedBike), Cl0p, Play, SafePay, INC Ransom, Lynx, RansomHub, DragonForce (também conhecido como FireFlame e FuryStorm) e Sinobi emergiram como as 10 principais marcas de ransomware com o maior número de vÃtimas reivindicadas em seus sites de vazamento de dados.
“Em um terço dos incidentes, o vetor de acesso inicial foi confirmado ou suspeito de exploração de vulnerabilidades, mais frequentemente em VPNs e firewalls comuns”, disse o Google Threat Intelligence Group (GTIG), acrescentando que 77% das invasões de ransomware analisadas incluÃam suspeita de roubo de dados, um aumento de 57% em 2024.
"Apesar da turbulência contÃnua causada por conflitos entre atores e
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #leaknet #ransomware #usa #clickfix #por #meio #de #sites #invadidos #e #implanta #deno #inmemory #loader
⚡ Fique ligado: novidades e promoções em breve por aqui! ⚡
Postar um comentário