EnvyScout Malware

Por Mezo em Malware

Traduzir Para:

O EnvyScout é um novo tipo de malware que foi usado em um ataque de phishing que se fez passar pela Agência dos Estados Unidos para o Desenvolvimento Internacional (USAID). Os atores da ameaça responsáveis pela operação são do APT29, o mesmo coletivo de hackers que executou o ataque à cadeia de suprimentos contra a SolarWinds. Acredita-se que o APT29 tenha ligações com a Rússia. Outros nomes usados para designar o mesmo ator de ameaça são Nobelium, SolarStorm, DarkHalo, NC2452 e StellarPartile.

Os hackers conseguiram comprometer uma conta de contato pertencente à USAID e então enviaram mais de 3.000 emails de phishing para mais de 150 entidades diferentes. Os alvos incluíram organizações e agências governamentais envolvidas com direitos humanos e trabalho humanitário, bem como desenvolvimento internacional. Os pesquisadores da Infosec descobriram quatro cepas de malware nunca antes vistas como parte do ataque da USAID - um anexo HTML chamado 'EnvyScout', um downloader chamado 'BoomBox', um loader chamado 'NativeZone' e um shellcode chamado 'VaporRage'. A primeira ameaça a cair nas máquinas comprometidas é o EnvyScout.

Detalhes sobre o EnvyScout

A Microsoft analisou o malware usado no ataque da USAID e divulgou um relatório com suas descobertas. O EnvyScout foi projetado para lançar a carga útil do próximo estágio no sistema infectado, enquanto também captura e exfiltrando certos dados - principalmente credenciais NTLM de contas do Windows. A ameaça é um anexo de arquivo HTML/JS distribuído com o nome 'NV.html'. Quando executado, o arquivo NV tentará carregar uma imagem de um arquivo://URL. Ao mesmo tempo, as credenciais do Windows NTLM do usuário conectado podem ser enviadas a um servidor remoto sob o controle dos hackers. Os cibercriminosos podem então tentar acessar a senha em texto simples contida nos dados por meio de métodos de força bruta.

O EnvyScout escalará o ataque convertendo um blob de texto embutido em um arquivo de imagem corrompido chamado 'NV.img' que será salvo no sistema local. Se o arquivo de imagem for iniciado pelo usuário, ele exibirá um atalho chamado NV que executará um arquivo oculto chamado 'BOOM.exe.' O arquivo oculto faz parte da carga útil do próximo estágio para o malware BoomBox.

Deve-se observar que o EnvyScout foi implantado com uma campanha de phishing diferente. De acordo com o pesquisador da infosec Florian Roth, a ameaça foi anexada a e-mails de phishing que se fazem passar por correspondência oficial vinda da Embaixada da Bélgica.

Buscar

Mudar de região

EnvyScout Malware

Enviar o Comentário

Tendendo

Safe Search Eng

MarioLocker Ransomware

MyWallPaper

Mais visto

O Lookmovie.io é seguro?

Como Corrigir o Erro 'Driver da Impressora...

O Discord Exibe uma Tela Preta ao Compartilhar a Tela