🔥 Fique por dentro das novidades mais quentes do momento! 🔥
Sua opinião é importante: leia e participe!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Pesquisadores de segurança cibernética descobriram uma nova variante de um malware conhecido chamado LOTUSLITE, distribuído por meio de um tema relacionado ao setor bancário da Índia.
“O backdoor se comunica com um servidor dinâmico de comando e controle baseado em DNS sobre HTTPS e suporta acesso remoto a shell, operações de arquivos e gerenciamento de sessões, indicando um conjunto contínuo de capacidades focadas em espionagem, em vez de objetivos motivados financeiramente”, disseram os pesquisadores da Acronis, Subhajeet Singha e Santiago Pontiroli, em uma análise.
O uso do LOTUSLITE foi observado anteriormente em ataques de spear-phishing direcionados ao governo dos EUA e a entidades políticas usando iscas associadas aos desenvolvimentos geopolíticos entre os EUA e a Venezuela. A atividade foi atribuída com confiança média a um grupo estatal chinês conhecido como Mustang Panda.
A última atividade sinalizada pela Acronis envolve a implantação de uma versão evoluída do LOTUSLITE que demonstra “melhorias incrementais” em relação ao seu antecessor, indicando que o malware está sendo ativamente mantido e refinado pelos seus operadores.
O desvio em relação à onda de ataques anterior está relacionado com um pivô geográfico que se concentra principalmente no sector bancário da Índia, mantendo ao mesmo tempo o resto do manual operacional praticamente intacto. O ponto de partida do ataque é um arquivo HTML compilado (CHM) que incorpora as cargas maliciosas – um executável legítimo e uma DLL não autorizada – junto com uma página HTML que contém um pop-up que solicita ao usuário que clique em “Sim”.
Esta etapa foi projetada para recuperar e executar silenciosamente um malware JavaScript de um servidor remoto ("cosmosmusic[.]com"), cuja responsabilidade principal é extrair e executar o malware contido no arquivo CHM usando carregamento lateral de DLL. A DLL ("dnx.onecore.dll") é uma versão atualizada do LOTUSLITE que se comunica com o domínio "editor.gleeze[.]com" para receber comandos e exfiltrar dados de interesse.
Uma análise mais aprofundada da campanha revelou artefactos semelhantes concebidos para atingir entidades sul-coreanas, especificamente indivíduos dentro da comunidade política e diplomática.
“Acreditamos que o grupo tinha como alvo certas entidades pertencentes às comunidades diplomáticas e políticas da Coreia do Sul e dos EUA, especificamente aquelas envolvidas nos assuntos da península coreana, nas discussões políticas da Coreia do Norte e nos diálogos de segurança do Indo-Pacífico”, disse Acronis.
“O que se destaca é a ampliação da segmentação do grupo, de entidades governamentais dos EUA com atrações geopolíticas, para o setor bancário da Índia através de implantes incorporados com referências do HDFC Bank e pop-ups disfarçados de software bancário legítimo, e agora para os círculos políticos da Coreia do Sul e dos EUA através da personificação de uma figura proeminente na diplomacia da península coreana, entregue através de contas falsificadas do Gmail e da encenação do Google Drive.
“O backdoor se comunica com um servidor dinâmico de comando e controle baseado em DNS sobre HTTPS e suporta acesso remoto a shell, operações de arquivos e gerenciamento de sessões, indicando um conjunto contínuo de capacidades focadas em espionagem, em vez de objetivos motivados financeiramente”, disseram os pesquisadores da Acronis, Subhajeet Singha e Santiago Pontiroli, em uma análise.
O uso do LOTUSLITE foi observado anteriormente em ataques de spear-phishing direcionados ao governo dos EUA e a entidades políticas usando iscas associadas aos desenvolvimentos geopolíticos entre os EUA e a Venezuela. A atividade foi atribuída com confiança média a um grupo estatal chinês conhecido como Mustang Panda.
A última atividade sinalizada pela Acronis envolve a implantação de uma versão evoluída do LOTUSLITE que demonstra “melhorias incrementais” em relação ao seu antecessor, indicando que o malware está sendo ativamente mantido e refinado pelos seus operadores.
O desvio em relação à onda de ataques anterior está relacionado com um pivô geográfico que se concentra principalmente no sector bancário da Índia, mantendo ao mesmo tempo o resto do manual operacional praticamente intacto. O ponto de partida do ataque é um arquivo HTML compilado (CHM) que incorpora as cargas maliciosas – um executável legítimo e uma DLL não autorizada – junto com uma página HTML que contém um pop-up que solicita ao usuário que clique em “Sim”.
Esta etapa foi projetada para recuperar e executar silenciosamente um malware JavaScript de um servidor remoto ("cosmosmusic[.]com"), cuja responsabilidade principal é extrair e executar o malware contido no arquivo CHM usando carregamento lateral de DLL. A DLL ("dnx.onecore.dll") é uma versão atualizada do LOTUSLITE que se comunica com o domínio "editor.gleeze[.]com" para receber comandos e exfiltrar dados de interesse.
Uma análise mais aprofundada da campanha revelou artefactos semelhantes concebidos para atingir entidades sul-coreanas, especificamente indivíduos dentro da comunidade política e diplomática.
“Acreditamos que o grupo tinha como alvo certas entidades pertencentes às comunidades diplomáticas e políticas da Coreia do Sul e dos EUA, especificamente aquelas envolvidas nos assuntos da península coreana, nas discussões políticas da Coreia do Norte e nos diálogos de segurança do Indo-Pacífico”, disse Acronis.
“O que se destaca é a ampliação da segmentação do grupo, de entidades governamentais dos EUA com atrações geopolíticas, para o setor bancário da Índia através de implantes incorporados com referências do HDFC Bank e pop-ups disfarçados de software bancário legítimo, e agora para os círculos políticos da Coreia do Sul e dos EUA através da personificação de uma figura proeminente na diplomacia da península coreana, entregue através de contas falsificadas do Gmail e da encenação do Google Drive.
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #a #nova #variante #lotuslite #do #mustang #panda #tem #como #alvo #bancos #da #índia #e #círculos #políticos #da #coreia #do #sul
🎉 Obrigado por acompanhar, até a próxima notícia!
Postar um comentário