AveMaria Info-stealer muda sua estratégia para infectar mais usuários

Hackers

Hackers

O cenário de ameaças cibernéticas ultimamente tem visto força no uso de ladrões de informações entre os cibercriminosos. Um desses ladrões de informações, apelidado de AveMaria, está mudando de tática para infectar mais usuários. Pesquisadores da Zscaler forneceram uma análise aprofundada das mudanças adotadas e novas táticas, técnicas e procedimentos que caracterizam um ataque AveMaria.
Compartilhe

Observações recentes

Nos últimos seis meses, os operadores por trás do ladrão de informações fizeram adições significativas aos estágios de execução para infectar mais usuários.

  • A maioria desses ataques foi iniciada por e-mails de phishing e o primeiro foi identificado pela primeira vez em agosto de 2022.
  • Os e-mails de phishing incluíam um anexo de arquivo ISO, juntamente com três documentos falsos e quatro arquivos de atalho, e foram usados ​​para atingir as autoridades ucranianas.

Ocorrências anteriores de AveMaria

  • Em dezembro de 2022, os especialistas descobriram duas versões da cadeia de ataque AveMaria que aproveitaram o formato de arquivo do disco rígido virtual para descartar o downloader malicioso. Enquanto os adversários usaram um arquivo .vhdx malicioso para baixar o malware em um cenário, eles aproveitaram a conversão de tipo ou os mecanismos de conversão de tipo (para manipular os valores no nível de bit) e descartaram um arquivo .vhd como a carga útil inicial.
  • Em outubro de 2022, a carga maliciosa foi descartada via AUloader. A campanha de phishing aproveitou um script Autoit altamente ofuscado e um interpretador Autoit para descriptografar o binário AveMaria na memória e, em seguida, executar a carga útil.
  • Em setembro de 2022, técnicas de injeção de VBscript e DLL foram usadas durante os estágios de execução para evitar a detecção. A campanha visava os usuários sérvios, solicitando-lhes que atualizassem suas credenciais de login para acessar o portal de identificação eletrônica do governo.

O que isso indica?

  • Os pesquisadores destacam que os desenvolvedores do malware AveMaria estão mantendo o malware ativamente e atualizando as fases e estágios de execução com novas táticas para evitar a detecção.
  • As alterações nos mecanismos de distribuição de malware foram atualizadas mensalmente para que, mesmo que um mecanismo fosse sinalizado pelos operadores de segurança, o outro ainda pudesse ser aplicado com eficácia.

Conclusão

Como esses ataques se originaram principalmente de e-mails de phishing, as organizações são aconselhadas a ter uma solução de segurança de e-mail melhor para impedir essas ameaças nos estágios iniciais. Além disso, eles podem consultar os IOCs fornecidos pelo Zscaler para entender o escopo completo das cadeias de ataque.