🚨 NOVA NOTÍCIA EM DESTAQUE! 🚨
Confira agora e compartilhe com seus amigos!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Atores de ameaças desconhecidos comprometeram o CPUID ("cpuid[.]com"), um site que hospeda ferramentas populares de monitoramento de hardware, como CPU-Z, HWMonitor, HWMonitor Pro e PerfMonitor, por menos de 24 horas para fornecer executáveis maliciosos para o software e implantar um trojan de acesso remoto chamado STX RAT.
O incidente durou aproximadamente de 9 de abril, às 15h UTC, até cerca de 10 de abril, às 10h UTC, com os URLs de download dos instaladores CPU-Z e HWMonitor substituídos por links para sites maliciosos.
Em uma postagem compartilhada no X, o CPUID confirmou a violação, atribuindo-a ao comprometimento de um "recurso secundário (basicamente uma API secundária)" que fazia com que o site principal exibisse aleatoriamente links maliciosos. Vale ressaltar que o ataque não afetou os arquivos originais assinados.
De acordo com a Kaspersky, os nomes dos sites fraudulentos são os seguintes -
cahayailmukreatif.web[.]id
pub-45c2577dbd174292a02137c18e7b1b5a.r2[.]dev
transitopalermo[.]com
vatrobran[.]h
“O software trojanizado foi distribuído como arquivos ZIP e como instaladores independentes para os produtos mencionados”, disse a empresa russa de segurança cibernética. "Esses arquivos contêm um executável legítimo assinado para o produto correspondente e uma DLL maliciosa, chamada 'CRYPTBASE.dll' para aproveitar a técnica de carregamento lateral de DLL."
A DLL maliciosa, por sua vez, entra em contato com um servidor externo e executa cargas adicionais, mas não antes de realizar verificações anti-sandbox para evitar a detecção. O objetivo final da campanha é implantar o STX RAT, um RAT com HVNC e amplos recursos de infostealer.
O STX RAT "expõe um amplo conjunto de comandos para controle remoto, execução de carga útil subsequente e ações pós-exploração (por exemplo, execução na memória de EXE/DLL/PowerShell/shellcode, proxy reverso/túnel, interação na área de trabalho)", disse eSentire em uma análise do malware na semana passada.
O endereço do servidor de comando e controle (C2) e a configuração da conexão foram reutilizados de uma campanha anterior que utilizou instaladores trojanizados do FileZilla hospedados em sites falsos para implantar o mesmo malware RAT. A atividade foi documentada pela Malwarebytes no início do mês passado.
A Kaspersky disse que identificou mais de 150 vítimas, a maioria indivíduos afetados pelo incidente. No entanto, organizações de varejo, manufatura, consultoria, telecomunicações e agricultura também foram afetadas. A maioria das infecções está localizada no Brasil, Rússia e China.
“O erro mais grave que os invasores cometeram foi reutilizar a mesma cadeia de infecção envolvendo STX RAT e os mesmos nomes de domínio para comunicação C2 do ataque anterior relacionado a instaladores falsos do FileZilla”, disse Kaspersky. "Os recursos gerais de desenvolvimento/implantação de malware e de segurança operacional do agente da ameaça por trás desse ataque são bastante baixos, o que, por sua vez, tornou possível detectar o comprometimento do watering hole assim que ele começou."
O incidente durou aproximadamente de 9 de abril, às 15h UTC, até cerca de 10 de abril, às 10h UTC, com os URLs de download dos instaladores CPU-Z e HWMonitor substituídos por links para sites maliciosos.
Em uma postagem compartilhada no X, o CPUID confirmou a violação, atribuindo-a ao comprometimento de um "recurso secundário (basicamente uma API secundária)" que fazia com que o site principal exibisse aleatoriamente links maliciosos. Vale ressaltar que o ataque não afetou os arquivos originais assinados.
De acordo com a Kaspersky, os nomes dos sites fraudulentos são os seguintes -
cahayailmukreatif.web[.]id
pub-45c2577dbd174292a02137c18e7b1b5a.r2[.]dev
transitopalermo[.]com
vatrobran[.]h
“O software trojanizado foi distribuído como arquivos ZIP e como instaladores independentes para os produtos mencionados”, disse a empresa russa de segurança cibernética. "Esses arquivos contêm um executável legítimo assinado para o produto correspondente e uma DLL maliciosa, chamada 'CRYPTBASE.dll' para aproveitar a técnica de carregamento lateral de DLL."
A DLL maliciosa, por sua vez, entra em contato com um servidor externo e executa cargas adicionais, mas não antes de realizar verificações anti-sandbox para evitar a detecção. O objetivo final da campanha é implantar o STX RAT, um RAT com HVNC e amplos recursos de infostealer.
O STX RAT "expõe um amplo conjunto de comandos para controle remoto, execução de carga útil subsequente e ações pós-exploração (por exemplo, execução na memória de EXE/DLL/PowerShell/shellcode, proxy reverso/túnel, interação na área de trabalho)", disse eSentire em uma análise do malware na semana passada.
O endereço do servidor de comando e controle (C2) e a configuração da conexão foram reutilizados de uma campanha anterior que utilizou instaladores trojanizados do FileZilla hospedados em sites falsos para implantar o mesmo malware RAT. A atividade foi documentada pela Malwarebytes no início do mês passado.
A Kaspersky disse que identificou mais de 150 vítimas, a maioria indivíduos afetados pelo incidente. No entanto, organizações de varejo, manufatura, consultoria, telecomunicações e agricultura também foram afetadas. A maioria das infecções está localizada no Brasil, Rússia e China.
“O erro mais grave que os invasores cometeram foi reutilizar a mesma cadeia de infecção envolvendo STX RAT e os mesmos nomes de domínio para comunicação C2 do ataque anterior relacionado a instaladores falsos do FileZilla”, disse Kaspersky. "Os recursos gerais de desenvolvimento/implantação de malware e de segurança operacional do agente da ameaça por trás desse ataque são bastante baixos, o que, por sua vez, tornou possível detectar o comprometimento do watering hole assim que ele começou."
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #cpuid #breach #distribui #stx #rat #por #meio #de #downloads #trojanizados #de #cpuz #e #hwmonitor
💡 Compartilhe e ajude nosso projeto a crescer!
Postar um comentário