POSHC2

Os especialistas em segurança cibernética estão usando uma ferramenta chamada POSHC2 para garantir que as redes que estão administrando estejam protegidas contra ataques cibernéticos. O POSHC2 é uma estrutura de exploração que ajuda os testadores de penetração em particular. No entanto, a estrutura do POSHC2 é uma ferramenta gratuita e todo o seu código-fonte está disponível para quem se interessar livremente. Naturalmente, isso atraiu a atenção de cibercriminosos que alteraram levemente o código da estrutura e conseguiram transformá-la em uma ferramenta de hacking totalmente armada. Essas variantes ameaçadoras da estrutura POSHC2 podem ser usadas para atingir empresas e indivíduos.

Operações Direcionadas às Principais Indústrias

Entre os trapaceiros que estão tirando proveito da estrutura POSHC2 armada está o grupo APT33 (Ameaça Persistente Avançada). Eles também são conhecidos sob o pseudônimo Elfin Team. Sabe-se que esse grupo de hackers está localizado no Irã e está lançando campanhas direcionadas a empresas e instituições nos Estados Unidos, Coréia do Sul e Arábia Saudita. Parece que o APT33 adquiriu um gosto pela estrutura POSHC2, pois a usava em várias campanhas em 2018. Dois de seus alvos eram os setores de aviação e engenharia. O grupo de hackers configurou um cronômetro que encerraria a atividade da variante armada da estrutura POSHC2 em 29 de julho de 2018. Poucos trapaceiros adotam essa medida, mas alguns preferem estar do lado seguro e deixar menos traços de segurança cibernética especialistas.

Opera como um Trojan Backdoor

A estrutura do POSHC2 foi transformada no que é um Trojan backdoor essencialmente. Isso significa que essa ameaça pode quase funcionar como um Trojan backdoor comum. Depois de comprometer um alvo, o backdoor do POSHC2 começará a coletar informações sobre o hardware do sistema, o software, o nome de usuário, o nome do PC e o ID do processo da ameaça. Todas as informações coletadas serão então filtradas para o servidor C&C (Command & Control) dos operadores do backdoor POSHC2. O backdoor POSHC2 pode receber comandos remotos do servidor C&C. Com a ajuda do servidor C&C, o backdoor POSHC2 também é capaz de baixar e executar malware adicional na máquina comprometida. Além disso, essa iteração da estrutura POSHC2 também pode executar comandos do PowerShell.

Não é incomum que os cibercriminosos sequestrem um aplicativo legítimo e o armem. As empresas precisam levar sua segurança cibernética mais a sério.