Quer apoiar meu projeto de divulgação de noticias? E ainda divulgar suas redes sociais
Agora é possivel Veja a noticia completa em: https://www.bleepingcomputer.com/news/security/apt37-hackers-deploy-new-fadestealer-eavesdropping-malware/
Fonte: https://www.bleepingcomputer.com
Achou esse artigo interessante? Siga canalfsociety em
Instagram,
Facebook,
Telegram,
Twitter,
App Boletim Tec e
App Mr Robot Sticker para ler mais conteúdo exclusivo que postamos. #samirnews #samir #news #boletimtec #hackers #apt37 #implantam #novo #malware #de #espionagem #fadestealer
O grupo de hackers norte-coreano APT37 usa um novo malware de roubo de informações 'FadeStealer' contendo um recurso de 'escuta telefônica', permitindo que o agente da ameaça bisbilhote e grave dos microfones das vÃtimas.
Acredita-se que o APT37, também conhecido como StarCruft, Reaper ou RedEyes, seja um grupo de hackers patrocinado pelo estado com uma longa história de condução de ataques de espionagem cibernética alinhados com os interesses norte-coreanos. Esses ataques têm como alvo desertores norte-coreanos, instituições educacionais e organizações sediadas na UE.
No passado, os hackers eram conhecidos por utilizar malware personalizado chamado 'Dolphin' e 'M2RAT' para executar comandos e roubar dados, credenciais e capturas de tela de dispositivos Windows e até mesmo de telefones celulares conectados.
Começa com um arquivo CHM
Em um novo relatório do AhnLab Security Emergency Response Center (ASEC), os pesquisadores fornecem informações sobre um novo malware personalizado apelidado de 'AblyGo backdoor' e 'FadeStealer' que os agentes de ameaças usam em ataques de espionagem cibernética.
O fluxo do ataque StarCruftFonte: ASEC
Acredita-se que o malware seja entregue usando e-mails de phishing com arquivos anexados contendo documentos Word e Hangul Word Processor protegidos por senha (arquivos .docx e .hwp) e um arquivo CHM do Windows 'password.chm'.
A ASEC acredita que os e-mails de phishing instruem o destinatário a abrir o arquivo CHM para obter a senha dos documentos, o que inicia o processo de infecção no dispositivo Windows.
Depois que o arquivo CHM é aberto, ele exibe a suposta senha para abrir o documento, mas também baixa e executa silenciosamente um script remoto do PowerShell que contém a funcionalidade backdoor e está registrado para iniciar automaticamente com o Windows.
Esse backdoor do PowerShell se comunica com os servidores de comando e controle dos invasores e executa todos os comandos enviados pelos invasores.
O backdoor é usado para implantar um backdoor GoLang adicional usado nos estágios posteriores do ataque para conduzir o escalonamento de privilégios, roubo de dados e a entrega de outros malwares.
Esse novo backdoor é denominado 'AblyGo backdoor', pois usa a Plataforma Ably, um serviço de API que permite aos desenvolvedores implantar recursos em tempo real e entrega de informações em seus aplicativos.
Os agentes de ameaças usam ABLY como uma plataforma de comando e controle para enviar comandos codificados em base64 para o backdoor para executar e, em seguida, receber qualquer saÃda, onde os agentes de ameaças posteriormente os recuperam.
Como esta é uma plataforma legÃtima, provavelmente é usada pelos agentes de ameaças para evitar o monitoramento de rede e o software de segurança.
A ASEC obteve acesso à chave da API Ably usada pelo backdoor e pôde monitorar alguns dos comandos emitidos pelos invasores. Esses comandos ilustram como os hackers usaram o backdoor para listar os arquivos em um diretório, renomear um arquivo .jpg falso para um arquivo .exe e, em seguida, executá-lo.
No entanto, é tecnicamente possÃvel que o agente da ameaça envie qualquer comando que deseje executar.
FadeStealer escuta seu dispositivo
Em última análise, os backdoors implantam uma carga útil final na forma de 'FadeStealer', um malware capaz de roubar uma grande variedade de informações de dispositivos Windows.
Quando instalado, o FadeStealer é injetado usando carregamento lateral de DLL no processo 'ieinstall.exe' legÃtimo do Internet Explorer e começa a roubar dados do dispositivo e armazená-los em arquivos RAR a cada 30 minutos.
Os dados incluem capturas de tela, pressionamentos de tecla registrados, arquivos coletados de smartphones conectados e dispositivos removÃveis. O malware também inclui a capacidade de gravar áudio de um microfone conectado, permitindo que os invasores ouçam as conversas.
Esses dados são coletados nas seguintes pastas %Temp%:
Caminho da Pasta
Dados filtrados
%temp%\VSTelems_Fade\NgenPdbc
Capturas de tela
%temp%\VSTelems_Fade\NgenPdbk
Keylogging
%temp%\VSTelems_Fade\NgenPdbm
escutas de microfone
%temp%\VSTelems_FadeIn
Coleta de dados do dispositivo smartphone
%temp%\VSTelems_FadeOut
Dispositivo de mÃdia removÃvel
Os agentes de ameaças podem então analisar esses dados coletados para roubar informações confidenciais para uso pelo governo norte-coreano ou realizar novos ataques.
O APT37 não é o único agente de ameaças norte-coreano que utiliza arquivos CHM para implantar malware.
A ASEC também informou hoje que o grupo de hackers patrocinado pelo estado de Kimsuky está utilizando arquivos CHM em ataques de phishing para implantar scripts maliciosos que roubam informações do usuário e instalam malware adicional.
“Se você examinar o fluxo geral do ataque neste caso, o agente da ameaça executou seu ataque de maneira inteligente e precisa, empregando e-mails de spear phishing para obter acesso aos sistemas de destino e usando um canal Ably como um servidor de comando e controle”, concluiu o pesquisadores.
"Esses tipos de ataques são difÃceis de serem percebidos pelos indivÃduos."
Postar um comentário