ISH revela que malwares conhecidos se reinventam, e são comercializados na Deep Web

A ISH Tecnologia, referência em cibersegurança nacional, divulga um relatório onde alerta para a descoberta de uma série de novos ataques cibernéticos. A empresa alerta para novas versões de já conhecidos golpes, esquemas de espionagem e redes de venda de malwares e ransomwares, entre outros.

Confira a seguir por onde os ataques são disparados, e seu funcionamento:

Wi-Fi IEEE 802.11
Esse ataque é caracterizado por acessar informações e dados armazenadas em pontos de acessos (roteadores por exemplo) de rede e vazá-las enquanto essas estão enfileiradas. Esse enfileiramento no sistema do computador é feito para que as realizações de comandos nos pontos de trocas operacionais não se atropelem.

Os atores, ao realizarem os ataques aos pontos de acessos poderiam obter acesso a Dados que estavam sendo transmitidos na rede, como também haveria a possibilidade de manipulação da transmissão dos dados, falsificação de endereços de máquinas e outros.

Segundo a ISH, esse ataque já foi visto nos sistemas Linux, Android, iOS e FreeBSD, pois utiliza das conexões TCP ou intercepta as conexões diretamente pela internet.

YoroTrooper
O YoroTrooper é um ator de ameaça que estaria executando diversas campanhas de espionagem, com surgimento em junho de 2022. Alguns dos casos de sucesso da instalação de sua espionagem foram em uma agência crítica de saúde da Europa e na WIPO, a Organização Mundial de Propriedade Intelectual.

O ataque é operado por uma campanha de phishing via e-mail, atraindo alguns dos usuários a partir de um PDF anexado – para causar impressão de legitimidade da mensagem na primeira vista do destinatário – e é nesse clique, que a instalação do malware é iniciada.

Quando iniciada, a cadeia de infecção instala arquivos de tipo RAR ou ZIP nos alvos da espionagem. Então, é instalado outro arquivo chamado LNK para conseguir baixar e executar o conteúdo sequestrado de outra máquina.

Mercado de Ransomwares na Deep Web
A empresa também alerta para a existência de um mercado de venda e compra de malwares prontos na Deep Web. Na camada mais profunda da internet, os criadores dos ataques encontram uma maneira de ter retorno financeiro sem colocar em risco à sua exposição para fazer as investidas.

Nesse esquema, o desenvolvedor codifica o ransomware, vende para quem está interessado em fazer o ataque, que então o efetua para criptografar dados, sequestrar informações confidenciais de alguma instituição. Com essa situação já apresentada, quem sofreu o ataque tem a opção de pagar pela devolução das informações ou caso não, a exposição de seus dados na internet.

Ransomwares como Zeppelin, Yashma v 2.0, LockBit e Ranion são exemplos de ataques vendidos nesses fóruns. A transação acontece via criptomoeda para que não seja possível rastrear a origem do ataque.

DotRunpeX
Apesar de não estar em sua forma final e necessitar de algumas melhorias, o DotRunpeX é um injetor que pode contaminar os sistemas operacionais com diversas variantes de Ransomwares. Segundo monitoramento feito por alguns meses, foram observados 18 tipos diferentes de payloads entregues pelo DotRunpeX. Mesmo se encontrando em desenvolvimento, é possível concluir que o injetor já apresenta uma alta capacidade de danificar diversos sistemas justamente pela variedade e diversidade de suas maneiras de atacar um sistema.

Juntamente com os payloads, foram identificados a entrega de malwares dos tipos infostealers, RATs, droppers, downloaders, loaders, e outros. Esses diferentes tipos de ataque do DotRunpeX são distribuídos entre phishing de e-mails com anexos maliciosos, anúncios do Google com URL´s que permitem a entrada dos ataques nos sistemas e consiga fazer os downloads de diversos dados particulares do sistema.

Emotet
A nova atividade do já conhecido malware foi detectada pela Malwarebytes, quando o botnet Epoch 4 começou a enviar e-mails com macros maliciosos do Office. Nos anexos, é enviada uma notificação falsa informando que o documento é protegido. Porém, quando a vítima clica o botão “Exibir” para abrir o documento, o malware baixará um script malicioso que está implícito no anexo enviado pelo atacante.

O Emotet tinha passado por um período de inatividade, já que sua constante utilização resultou na resposta imediata de empresas de antivírus e cibersegurança. Antigamente, o Emotet distribuía ransomwares como Conti, ProLock, Ryuk e Egregor. Agora no seu retorno, a utilização do Microsoft OneNote foi pensada para justamente evitar seu reconhecimento nos sistemas de defesa.

A rápida volta do Emotet demonstra apenas o quanto as insitituições devem ficar atentas com sua segurança cibernética. O Emotet não mostra apenas persistência, mas sim uma adaptação veloz dos operadores para trocarem os tipos de anexos que já foram detectados por sistemas de cibersegurança, para assim distribuir uma grande variedade de malwares pelo mundo.

AiTM
O Adversary-in-The-Middle é um desenvolvedor de kits de phishing para compra ou aluguel de outros cibercriminosos. Não só o desenvolvimento, o AiTM faz também publicidade de seu produto pela internet e oferece suporte ao comprador para possíveis falhas ou erros que possam acontecer nas invasões.

A publicidade do AiTM é feita via redes sociais conhecidas, como por exemplo o Telegram. A plataforma dá seu preço mensal e pode executar seus malwares a partir dos dispositivos móveis.

O phishing é feito em sua maioria pelo e-mail, quando a vítima abre uma URL maliciosa enviada pelo atacante. A detecção fica ainda mais difícil de ser feita quando algum dos phishings utilizam do sistema CAPTCHA para que inteligências artificiais não ultrapassem o primeiro passo do ataque.