Get2

Existe um grupo de hackers que vem se desenvolvendo bastante nos últimos anos. Chama-se TAT505 e os pesquisadores acreditam que esse grupo está por trás das notórias campanhas Locky Ransomware e do Dridex Trojan bancário. O grupo TAT505 parece visar principalmente as empresas do setor financeiro. O grupo de hackers é conhecido por lançar ataques em todo o mundo - Estados Unidos, Canadá, Cingapura, Grécia, Suécia, Geórgia e outros. Quando os pesquisadores de malware estudaram as últimas campanhas do TAT505, encontraram duas famílias de malware anteriormente desconhecidas - o SDBBot RAT e o downloader Get2 Trojan. Coleta Dados e Fornece uma Carga Útil Secundária Assim como a maioria dos Trojans downloader, quando o Trojan Get2 se infiltra em um host, ele começa a coletar informações sobre o hardware do host e o software presente. Todos...

Postado em October 17, 2019 em Remote Administration Tools

SDBbot RAT

Enquanto alguns grupos de hackers são empregados pelos governos e costumam fazer lances em várias campanhas, outros grupos de hackers são motivados financeiramente. O grupo TAT505 pertence à última categoria. A atividade deste grupo de hackers foi identificada pela primeira vez em 2017 e foi monitorada desde então. Eles visam principalmente as empresas que operam no setor financeiro. No dia 7 de setembro, eles lançaram um ataque contra vítimas na Suécia, Cingapura, Grécia, Geórgia e outros lugares. O método de propagação utilizado pelo grupo de hackers TAT505 eram emails falsos contendo anexos infectados. O anexo foi adaptado para parecer um documento legítimo do Excel, para que o usuário não sinta que algo suspeito está acontecendo. Se a pessoa visada abrir o anexo, ele disparará o lançamento do downloader do Trojan Get2. Este Trojan...

Postado em October 17, 2019 em Remote Administration Tools

Graboid

A maioria dos worms de criptografia é propagada por torrents, campanhas de malvertising, downloads falsos e outros métodos populares. No entanto, alguns cibercriminosos optam por utilizar vetores de infecção mais criativos. É o caso do worm Graboid cryptojacking. Os autores do worm Graboid estão espalhando essa ameaça usando contêineres não seguros, neste caso, Docker. A Maioria das Vítimas estão na China Os criadores deste worm de criptografia não visam uma determinada classe de pessoas ou a um setor ou tipo de negócio específico. No entanto, a maioria das vítimas do worm Graboid está localizada na China. Foi determinado que existem mais de 10.000 vítimas até agora. O objetivo do worm Graboid cryptojacking é infectar um sistema e seqüestrar seus recursos para explorar a criptomoeda Monero. Por padrão, o Docker não possui portas...

Postado em October 17, 2019 em Worms

RUHAPPY

Um grupo emergente de hackers da Coréia do Norte vem ganhando as manchetes recentemente. Esse grupo é conhecido como APT37 (Ameaça persistente avançada) ou ScarCruft. O grupo APT37 parece ser empregado pelo governo norte-coreano e usado como cães de ataque cibernético ao lado do infame grupo de hackers Lazarus. A maioria dos alvos do grupo de hackers ScarCruft está propensa a ser localizada na Coréia do Sul, mas também houve algumas campanhas notáveis contra alvos no Oriente Médio. O grupo APT37 tem preferência por furtividade, e eles projetam suas ferramentas para operar silenciosamente e permanecer sob o radar de suas vítimas pelo maior tempo possível. Dessa forma, o grupo ScarCruft pode coletar mais informações sobre os seus alvos. Pode Tornar um Sistema Inoperante Apesar do fato de que a maioria das ferramentas de hackers no...

Postado em October 17, 2019 em Malware

Blackremote RAT

Os cibercriminosos nem sempre acabam usando o malware que eles constroem. Muitas vezes, em vez de usar as suas ferramentas de hackers em campanhas, eles as vendem ou alugam para outros indivíduos obscuros online. É o caso do Blackremote RAT (Trojan de acesso remoto). Os criadores deste Trojan haviam postado um anúncio on-line, que entrou no radar dos pesquisadores de malware imediatamente. O anúncio foi postado por um usuário com o nome 'Speccy' ou 'Rafiki'. Os criadores do RAT do Blackremote afirmam que sua ameaça é "indetectável" e tem uma longa lista de recursos. Finge ser uma Ferramenta Legítima Uma tática comum ao alugar ou vender ferramentas de hackers é experimentá-lo como um aplicativo legítimo, sem potencial insegurança. No entanto, as pessoas que as vendem e as que compram estão bem cientes do que é o...

Postado em October 16, 2019 em Remote Administration Tools

KARAE

Sabe-se que a Coréia do Norte tem alguns cibercriminosos altamente qualificados, e esses indivíduos geralmente trabalham para o governo. O APT (Ameaça Persistente Avançada) mais conhecido da Coreia do Norte é o grupo de hackers Lazarus. No entanto, recentemente, houve um novo grupo que está ganhando força, o ScarCruft (também conhecido como APT37). Como o grupo de hackers ScarCruft é financiado pelo governo norte-coreano, é lógico que eles estejam fazendo suas ofertas nas campanhas que lançam. É por isso que a maioria dos alvos do grupo ScarCruft estão localizados na Coréia do Sul e tendem a ser altos funcionários ou instituições governamentais. A ScarCruft desenvolveu uma longa lista de ferramentas de hackers que continuam se expandindo ao longo do tempo. Visa Usuários Aleatórios Uma das ferramentas de hacking personalizadas do APT37...

Postado em October 16, 2019 em Backdoors

SHUTTERSPEED

A nova estrela em ascensão no palco do crime cibernético norte-coreano é o grupo de hackers ScarCruft. Também é conhecido sob o alias APT37 (Ameaça Persistente Avançada). O grupo de hackers ScarCruft provavelmente será financiado diretamente pelo governo da Coréia do Norte. É por isso que é quase certo que o grupo APT37 é um dos cães de ataque de Kim Jong-Un. É por isso que faz sentido que a maioria dos alvos do grupo de hackers ScarCruft sejam instituições vinculadas ao governo ou autoridades de alto escalão, geralmente localizadas na Coréia do Sul. Uma das ferramentas do arsenal do grupo de hackers ScarCruft é o Trojan backdoor SHUTTERSPEED. Essa ameaça deve ser usada como uma carga útil de primeiro estágio, que serve para implantar ameaças adicionais na máquina comprometida. O Trojan SHUTTERSPEED também pode coletar informações do...

Postado em October 16, 2019 em Backdoors

Leto Ransomware

Uma quantidade crescente de ameaças de ransomware tem atormentado a Internet. Uma das famílias de ransomware mais populares em 2019 foi certamente a família de ransomware STOP. Os pesquisadores de malware determinaram que existem mais de 150 variantes desse Trojan de bloqueio de dados lançadas até agora. Um dos Trojans de criptografia de arquivos detectados mais recentemente é o Leto Ransomware. Propagação e Criptografia Depois de detectar e estudar essa ameaça de ransomware, os especialistas concluíram que ela é uma variante do STOP Ransomware. Campanhas de e-mail de spam em massa, atualizações falsas e cópias piratas de aplicativos legítimos podem estar entre os vetores de infecção envolvidos na distribuição do Leto Ransomware. Como a maioria dos Trojans de bloqueio de arquivos, o Leto Ransomware digitaliza todos os seus arquivos...

Postado em October 16, 2019 em Ransomware

RDFSNIFFER

Alguns grupos de hackers são patrocinados pelo estado e, portanto, fazem a licitação de seus governos em várias campanhas direcionadas a setores políticos e empresariais. Outros grupos de hackers são autônomos e geralmente tendem a ser totalmente motivados financeiramente. Um exemplo deste último é o Carbanak Group (também conhecido como FIN7), que é um grupo de indivíduos obscuros que conseguiram causar estragos em todo o mundo ao longo dos anos e causar danos na ordem de centenas de milhões de dólares. Especialistas em malware detectaram uma nova ferramenta que foi empregada pelo Carbanak Group, o RDFSNIFFER, recentemente. Essa ferramenta de hacking pode ser classificada como um RAT (Trojan de acesso remoto) e parece ser utilizada principalmente como uma carga útil de segundo estágio com a assistência do carregador de Trojan...

Postado em October 15, 2019 em Malware

PortReuse

A China é popular por seus grupos de hackers. Alguns operam em seus próprios termos, enquanto outros são patrocinados pelo governo chinês. Um dos mais notórios grupos de hackers chineses é o Winnti Group. Eles também são conhecidos como APT41 (Ameaça Persistente Avançada). Eles vêm ganhando destaque desde 2010. O Winnti Group recebe o nome de uma ferramenta de hackers desenvolvida por este APT - o malware Winnti. Essa ameaça colocou o Winnti Group no mapa e foi detectada pela primeira vez em 2013. Desde que o grupo de hackers ganhou destaque graças ao malware Winnti, eles desenvolveram novas ferramentas, uma das quais é o Trojan backdoor do PortReuse. Sua Preferência pela Furtividade A maioria dos Trojans de backdoor segue o mesmo padrão - eles são operados através de um servidor de C&C (Comando e Controle) remoto e tendem a ter uma...

Postado em October 15, 2019 em Backdoors

BOOSTWRITE

Existem grupos de hackers que estão envolvidos estritamente no ativismo; há outros, que atendem a vários governos e alguns atos de pura ganância. Este último é o caso do grupo chinês de hackers Carbanak Group, que também é conhecido como FIN7. Esse grupo de hackers se tornou um nome conhecido desde o lançamento do Trojan Carbanak. Essa ameaça conseguiu se tornar um dos Trojans bancários mais famosos já criados e deu o nome ao grupo de hackers responsável por ela. O Carbanak Group é conhecido por atingir principalmente empresas envolvidas nos setores de restaurante, hotelaria e varejo. Parece que a maioria de suas vítimas está localizada nos Estados Unidos. O Carbanak Group está desenvolvendo novas ferramentas, e duas delas foram vistas na natureza recentemente. É provável que essas novas ferramentas de hackers possam ser utilizadas em...

Postado em October 15, 2019 em Trojans

GELCAPSULE

Você ficaria surpreso com o número de campanhas de hackers de alto nível vindas da Coréia do Norte, considerando o quão restrito é o acesso à Internet por lá. No passado, havia apenas um grupo de hackers de destaque originário da Coréia do Norte, e esse era o grupo Lazarus. No entanto, recentemente, houve uma nova estrela no horizonte - o grupo de hackers ScarCruft, que também é conhecido como APT37 (Ameaça Persistente Avançada). Técnicas de Auto-Preservação O grupo de hackers ScarCruft tem um arsenal em expansão de ferramentas de hackers. Entre eles está o downloader do Trojan GELCAPSULE. Foi determinado que essa ameaça é capaz de reconhecer se está sendo executada em um ambiente sandbox. Caso seja, como método de autopreservação, o Trojan GELCAPSULE interromperá sua atividade. Este Trojan downloader também é conhecido por sua...

Postado em October 15, 2019 em Trojan Downloader

Tarmac

Um malware direcionado aos dispositivos OSX não é tão comum quanto o malware que ocorre após computadores executando o Windows. No entanto, isso não significa que as ameaças projetadas para atingir especificamente os computadores da Apple não existam. Um número significativo de proprietários de Mac acredita que seus dispositivos são impenetráveis falsamente porque é um equívoco que trouxe dores de cabeça a muitos usuários da Apple. Pesquisadores de segurança cibernética detectaram uma nova ameaça que atinge os computadores Mac no início deste ano. As campanhas prejudiciais ligadas a esta ameaça concentraram-se nos Estados Unidos, Itália e Japão. O nome dessa nova ameaça é Shlayer Trojan e ele serve como uma carga útil de primeiro estágio. Por um tempo, os especialistas em malware não foram capazes de determinar qual é a carga...

Postado em October 14, 2019 em Malware

Attor

O Attor é uma ameaça que foi adaptada para atingir dispositivos móveis e foi capaz de operar por alguns anos sem ser detectada por pesquisadores de malware. Essa ameaça pode ser classificada como uma ferramenta de spyware e é provável que seus operadores tenham acumulado uma grande quantidade de dados coletados ao longo dos anos. O spyware Attor foi descoberto recentemente porque seus operadores começaram a visar indivíduos de alto escalão, vinculados ao governo russo. Parece que a atividade do spyware Attor está concentrada principalmente na Europa Oriental, com a maioria dos alvos localizados na Federação Russa. Pode Utilizar Comandos AT O spyware Attor é uma ameaça bastante interessante. Foi determinado que essa ferramenta de hackers é construída de forma modular. Isso permite que o malware Attor seja muito flexível. Além disso, o...

Postado em October 14, 2019 em Spyware

CORALDECK

O governo norte-coreano é conhecido por usar os serviços de hackers. Recentemente, além do conhecido grupo de hackers Lazarus, surgiu um novo ator, o ScarCruft APT (Ameaça Persistente Avançada). Esse grupo de hackers também é conhecido como APT37. Eles parecem visar principalmente sul-coreanos de alto escalão. No entanto, pesquisadores de malware detectaram campanhas do APT31 no Oriente Médio, assim como no Vietnã e no Japão. É provável que o grupo de hackers ScarCruft tenha começado a operar em 2015. Preferência por Furtividade O grupo ScarCruft tende a prestar atenção especial à furtividade nas suas operações. Outro componente de assinatura das operações do APT37 é a coleta de informações importantes do host. Uma de suas principais ferramentas que o grupo de hackers usa para coletar dados é o malware CORALDECK. A primeira campanha...

Postado em October 14, 2019 em Trojans