Facebook, YouTube usado no esquema de phishing brasileiro
| Uma quadrilha de criminosos cibernéticos montou uma campanha de phishing que utiliza várias fontes confiáveis, juntamente com a ajuda de um serviço de uma empresa de segurança de primeira linha para convencer suas vítimas a abrir e baixar um anexo malicioso. A Cofense Intelligence constatou que os agentes maliciosos, que visam apenas os brasileiros, usam extensivamente nomes confiáveis, serviços legítimos do Windows e os Cloudflare Workers para injetar o Trojan Astaroth com o objetivo de roubar credenciais bancárias. No entanto, apesar do esforço dos pesquisadores da gangue Cofense, os ataques podem ser interrompidos se forem tomadas as devidas precauções, tanto humanas quanto técnicas. A campanha atual está enviando e-mails apenas em português, fingindo ser uma fatura, um ingresso para o show ou uma ação civil. Em cada caso, o corpo do email é socialmente projetado para convencer o destinatário a abrir e baixar o arquivo .htm anexado. Depois que o arquivo .htm é baixado, um arquivo .zip é protegido geograficamente para o Brasil e contém um arquivo .LNK malicioso. A ameaça interna é usada quando o arquivo .LNK baixa um JavaScript de uma conta do Cloudflare Worker. Isso, por sua vez, baixa vários arquivos que ajudam a ofuscar e executar o ladrão de informações do Astaroth, incluindo dois arquivos .DLL que são unidos e carregados em um programa legítimo chamado 'C: \ Arquivos de Programas \ Internet Explorer \ ExtExport.exe' , Escreveu Cofense. Os últimos downloads ajudam a evitar as funções de segurança AV, lista branca e filtragem de URL. O malware então usa uma técnica chamada de processo oco, onde pega o código baixado anteriormente e o injeta em vários programas legítimos, o mais importante dos quais é o unins000.exe, associado ao sistema bancário brasileiro. O Astaroth usa os perfis normalmente confiáveis do YouTube e do Facebook para hospedar e manter os dados de configuração do C2. “Os dados estão em postagens no Facebook ou nas informações de perfil das contas de usuário no YouTube. Ao hospedar os dados C2 nessas fontes confiáveis, os agentes de ameaças podem ignorar as medidas de segurança da rede, como a filtragem de conteúdo. Os atores de ameaças também podem alterar dinamicamente o conteúdo dessas fontes confiáveis, a fim de impedir a possibilidade de sua infraestrutura ser desativada ”, escreveu Cofense. Nesse momento, o ladrão de informações trabalha e reúne dados financeiros, senhas armazenadas no navegador, credenciais de cliente de email e credenciais SSH. “A complexa cadeia de infecções de Astaroth, direcionada aos cidadãos brasileiros, mostra o valor da defesa em camadas, bem como da educação do usuário final. Em cada etapa, a pilha de segurança poderia ter causado um impacto para interromper a cadeia de infecção; no entanto, através do uso de processos legítimos e de fontes confiáveis, a Astaroth conseguiu negar essas medidas defensivas ”, concluiu Cofense. | |
| Mais informações: | https://www.scmagazine.com/home/email-security/facebook-youtube-insider-threats-used-in-brazilian-phishing-scheme/ |
|---|