Get2

Existe um grupo de hackers que vem se desenvolvendo bastante nos últimos anos. Chama-se TAT505 e os pesquisadores acreditam que esse grupo está por trás das notórias campanhas Locky Ransomware e do Dridex Trojan bancário. O grupo TAT505 parece visar principalmente as empresas do setor financeiro. O grupo de hackers é conhecido por lançar ataques em todo o mundo - Estados Unidos, Canadá, Cingapura, Grécia, Suécia, Geórgia e outros. Quando os pesquisadores de malware estudaram as últimas campanhas do TAT505, encontraram duas famílias de malware anteriormente desconhecidas - o SDBBot RAT e o downloader Get2 Trojan.

Coleta Dados e Fornece uma Carga Útil Secundária

Assim como a maioria dos Trojans downloader, quando o Trojan Get2 se infiltra em um host, ele começa a coletar informações sobre o hardware do host e o software presente. Todos os dados coletados serão encaminhados para o servidor dos operadores. Essas informações ajudam os invasores a determinar como continuar a operação da maneira mais eficiente. Quando os autores do Trojan Get2 se decidirem, a ameaça receberá uma carga secundária, que será plantada rapidamente no sistema comprometido. Os pesquisadores de malware determinaram três cargas de segundo estágio separadas, que são implantadas com a ajuda do downloader do Trojan Get2:

• No dia 9 de setembro, o grupo TAT505 lançou campanhas direcionadas a instituições financeiras localizadas nos Emirados Árabes Unidos, Grécia, Lituânia, Cingapura e outros.
• No dia 20 de setembro, o grupo de hackers perseguiu vítimas que operavam no setor financeiro nos Estados Unidos e no Canadá.
• No dia 7 de outubro, os atacantes concentraram todos os seus esforços em alvos somente nos Estados Unidos.

O gatilho de infecção usado pelos atacantes foram anexos de email com macros. O alvo receberia um documento do Microsoft Excel comprometido anexado a um email. Na campanha realizada em 7 de outubro, o grupo TAT505 optou por hospedar os arquivos de anexo ameaçadores em servidores externos. Os links de URL no email foram abreviados rapidamente. Se os atacantes conseguirem convencer seu alvo a abrir o arquivo anexado corrompido, o downloader do Get2 Trojan receberá luz verde para iniciar o ataque. O Trojan Get2 aguardará o recebimento da carga útil do segundo estágio, que deve ser instalada no computador comprometido. Sabe-se que o downloader do Trojan Get2 implementa quatro cargas secundárias diferentes - o SDBbot RAT, o FlawedGrace RAT, o '.snatch file Extension' Ransomware e o FlawedAmmyy RAT.

É claro que o Trojan downloader Get2 está entre as ferramentas favoritas do grupo de hackers TAT505; portanto, provavelmente continuaremos a ouvir sobre essa ameaça no futuro. As empresas precisam começar a levar a segurança cibernética mais a sério, pois há um número cada vez maior de ameaças à espreita na Internet.