Atacantes vinculados ao Black Basta têm como alvo usuários o malware SystemBC

Atacantes vinculados ao Black Basta têm como alvo usuários o malware SystemBC
Compartilhe

Black Basta

Uma campanha de engenharia social em andamento com supostos vínculos com o grupo de ransomware Black Basta foi associada a “múltiplas tentativas de intrusão” com o objetivo de realizar roubo de credenciais e implantar um instalador de malware chamado SystemBC.

“A isca inicial utilizada pelos agentes da ameaça continua a mesma: uma bomba de e-mail seguida por uma tentativa de ligar para os usuários afetados e oferecer uma solução falsa”, disse a Rapid7 , acrescentando que “chamadas externas eram normalmente feitas para os usuários afetados via Microsoft Teams”.

A cadeia de ataque então convence o usuário a baixar e instalar um software de acesso remoto legítimo chamado AnyDesk, que atua como um canal para implantar cargas úteis subsequentes e exfiltrar dados confidenciais.

Isso inclui o uso de um executável chamado “AntiSpam.exe”, que pretende baixar filtros de spam de e-mail e solicita que os usuários insiram suas credenciais do Windows para concluir a atualização.

A etapa é seguida pela execução de vários binários, arquivos DLL e scripts do PowerShell, que incluem um beacon HTTP baseado em Golang que estabelece contato com um servidor remoto, um proxy SOCKS e SystemBC.

Para mitigar o risco representado pela ameaça, é aconselhável bloquear todas as soluções de desktop remoto não aprovadas e ficar atento a chamadas telefônicas e mensagens de texto suspeitas que supostamente sejam de equipes internas de TI.

A divulgação ocorre no momento em que SocGholish (também conhecido como FakeUpdates), GootLoader e Raspberry Robin surgiram como as cepas de carregador mais comumente observadas em 2024, que então atuam como um trampolim para ransomware, de acordo com dados da ReliaQuest.

“O GootLoader é novo na lista dos três primeiros deste ano, substituindo o QakBot à medida que sua atividade diminui”, disse a empresa de segurança cibernética .

“Carregadores de malware são frequentemente anunciados em fóruns de cibercriminosos da dark web, como XSS e Exploit, onde são comercializados para cibercriminosos que buscam facilitar intrusões de rede e entrega de payload. Esses carregadores são frequentemente oferecidos por meio de modelos de assinatura, com taxas mensais que concedem acesso a atualizações regulares, suporte e novos recursos projetados para evitar a detecção.”

Uma vantagem dessa abordagem baseada em assinatura é que ela permite que até mesmo agentes de ameaças com conhecimento técnico limitado montem ataques sofisticados.

Ataques de phishing também foram observados distribuindo um malware para roubo de informações conhecido como 0bj3ctivity Stealer por meio de outro carregador chamado Ande Loader como parte de um mecanismo de distribuição em várias camadas.

“A distribuição do malware por meio de scripts ofuscados e criptografados, técnicas de injeção de memória e o aprimoramento contínuo do Ande Loader com recursos como antidepuração e ofuscação de strings ressaltam a necessidade de mecanismos avançados de detecção e pesquisa contínua”, disse a eSentire .

Essas campanhas são apenas as mais recentes de uma onda de ataques de phishing e engenharia social que foram descobertos nas últimas semanas, mesmo com os agentes de ameaças usando cada vez mais códigos QR falsos para fins maliciosos.

  • Uma campanha ClearFake que utiliza páginas da web comprometidas para espalhar malware .NET sob o pretexto de baixar uma atualização do Google Chrome
  • Um ataque de phishing que emprega iscas com tema de trabalho para entregar AsyncRAT , Pure HVNC , XWorm , Venom RAT por meio de um carregador de shellcode Python
  • Uma campanha que usa sites falsos disfarçados de HSBC, Santander, Virgin Money e Wise para fornecer uma cópia do software AnyDesk Remote Monitoring and Management (RMM) para usuários do Windows e macOS, que é então usado para roubar dados confidenciais
  • Um site falso (“win-rar[.]co”) aparentemente distribuindo WinRAR que é usado para implantar ransomware, minerador de criptomoedas e ladrão de informações chamado Kematian Stealer , que estão hospedados no GitHub
  • Campanhas de download drive-by que fazem uso de anúncios maliciosos ou sites comprometidos que servem como um canal para o NetSupport RAT
  • Uma campanha de malvertising de mídia social que sequestra páginas do Facebook para promover um site de editor de fotos de inteligência artificial (IA) aparentemente legítimo por meio de anúncios pagos que atraem as vítimas para baixar a ferramenta RMM do ITarian e usá-la para entregar o Lumma Stealer

“A segmentação de usuários de mídias sociais para atividades maliciosas destaca a importância de medidas de segurança robustas para proteger as credenciais da conta e impedir o acesso não autorizado”, disseram os pesquisadores da Trend Micro.

Fontes: The Hacker News