*Atacantes por trás do Trickbot expandem os canais de distribuição de malware
Os operadores por trás do pernicioso malware TrickBot ressurgiram com novos truques que visam aumentar sua posição ao expandir seus canais de distribuição, levando à implantação de ransomware como o Conti.
O ator da ameaça, rastreado sob os apelidos de ITG23 e Wizard Spider, tem parceria com outras gangues do crime cibernético conhecidas como Hive0105, Hive0106 (também conhecido como TA551 ou Shathak) e Hive0107, adicionando a um número crescente de campanhas nas quais os invasores estão apostando entregar malware proprietário, de acordo com um relatório da IBM X-Force.
"Estes e outros fornecedores de cibercrime estão a infectar redes corporativas com malware sequestrando tópicos de e-mail, usando formulários de resposta do cliente falso e funcionários de engenharia social, com um centro de chamada falsa conhecido como BazarCall", pesquisadores Ole Villadsen e Charlotte Hammond disse .
Desde que emergiu no cenário de ameaças em 2016, o TrickBot evoluiu de um cavalo de Troia bancário para uma solução de crimeware modular baseada em Windows, ao mesmo tempo que se destaca por sua resiliência , demonstrando a capacidade de manter e atualizar seu conjunto de ferramentas e infraestrutura, apesar dos vários esforços das autoridades policiais e grupos da indústria para derrubá-lo. Além do TrickBot, o grupo Wizard Spider foi creditado com o desenvolvimento do BazarLoader e de um backdoor chamado Anchor .
Enquanto os ataques montados no início deste ano dependiam de campanhas de e-mail para entrega de documentos do Excel e um artifício de call center apelidado de " BazaCall " para entregar malware a usuários corporativos, as recentes invasões iniciadas por volta de junho de 2021 foram marcadas por uma parceria com duas afiliadas do crime cibernético para aumentar sua infraestrutura de distribuição aproveitando threads de e-mail sequestrados e formulários fraudulentos de consulta de clientes em sites da Web de organizações para implantar cargas úteis Cobalt Strike.
"Esta mudança não apenas aumentou o volume de suas tentativas de entrega, mas também diversificou os métodos de entrega com o objetivo de infectar mais vítimas potenciais do que nunca", disseram os pesquisadores.
Em uma cadeia de infecção observada pela IBM no final de agosto de 2021, a afiliada do Hive0107 teria adotado uma nova tática que envolve o envio de mensagens de e-mail para empresas-alvo informando que seus sites têm realizado ataques de negação de serviço distribuído (DDoS) em seus servidores, exortando os destinatários a clicarem em um link para obter evidências adicionais. Uma vez clicado, o link faz o download de um arquivo ZIP contendo um downloader JavaScript (JS) malicioso que, por sua vez, entra em contato com uma URL remota para buscar o malware BazarLoader para soltar Cobalt Strike e TrickBot.
"O ITG23 também se adaptou à economia do ransomware por meio da criação do Conti ransomware-as-a-service (RaaS) e do uso de suas cargas úteis BazarLoader e Trickbot para obter uma base para ataques de ransomware", concluíram os pesquisadores. "Este último desenvolvimento demonstra a força de suas conexões dentro do ecossistema do cibercriminoso e sua capacidade de alavancar essas relações para expandir o número de organizações infectadas com seu malware."
Achou esse artigo interessante? Siga canalfsociety em Instagram, Facebook, Telegram, Twitter, App Boletim Tec e App Mr Robot Sticker para ler mais conteúdo exclusivo que postamos.
Postar um comentário