FlowCloud
Os pesquisadores de segurança detectaram pela primeira vez uma ameaça chamada LookBack em julho de 2019. Nessa campanha inicial, o malware LookBack foi usado para atingir empresas americanas de serviços públicos. A ameaça LookBack permite que seus operadores coletem dados do host comprometido, além de monitorar a atividade do sistema violado. Considerando os recursos da ameaça LookBack e os alvos de alto perfil dos atacantes, os especialistas em malware acreditam que as campanhas prejudiciais foram realizadas por um grupo experiente e altamente qualificado de cibercriminosos.
Os pesquisadores também descobriram um projeto chamado FlowCloud, que parece se assemelhar ao malware LookBack. É provável que o malware LookBack e a ameaça FlowCloud possam ter sido desenvolvidos pelos mesmos atores maliciosos. Ambas as ameaças parecem ter como alvo as mesmas empresas e usar métodos de propagação semelhantes. As campanhas de hackers do malware FlowCloud e LookBack parecem ter sido realizadas simultaneamente.
Os emails usados para propagar a ameaça do FlowCloud foram divididos em dois ciclos separados. Na primeira campanha de propagação, o usuário de destino receberia um anexo PE corrompido, que oculta sua extensão. Na operação de distribuição mais recente, o destino receberá um email fraudulento, que possui um anexo com macros que parece ser um documento inofensivo do Microsoft Office. Como os atacantes estavam alvejando empresas de serviços públicos localizadas nos EUA, os e-mails de phishing conteriam temas que interessariam aos usuários desse setor, como vários certificados.
Quando a ameaça do FlowCloud comprometer o sistema de seu alvo, ela se conectará ao servidor C&C (Comando e Controle) do atacante, de onde deve receber comandos imediatamente. Tanto a ameaça FlowCloud quanto o malware LookBack podem obter arquivos e dados salvos na memória da área de transferência, além de plantar cargas úteis adicionais. Eles também podem executar comandos remotos fornecidos por seus operadores e gerenciar os processos ativos.
O malware FlowCloud e a ameaça LookBack são projetos de alto nível, que visam os mesmos alvos.
