SteganoAmor Attack Operation
O grupo de hackers TA558 iniciou uma nova campanha, empregando esteganografia para incorporar códigos nocivos em imagens. Essa técnica permite que eles distribuam clandestinamente uma variedade de ferramentas de malware em sistemas específicos, evitando a detecção tanto pelos usuários quanto pelo software de segurança.
Desde 2018, o TA558 representa uma ameaça significativa, visando principalmente entidades de hotelaria e turismo em todo o mundo, com um foco notável na América Latina. Recentemente, especialistas em segurança cibernética revelaram o seu mais recente empreendimento, denominado “SteganoAmor”, destacando a sua forte dependência da esteganografia. A análise revelou mais de 320 ataques associados a esta campanha, impactando diversos setores e países.
Índice
O SteganoAmor Começa Dissemindo E-mails Fraudulentos
O ataque começa com e-mails enganosos contendo anexos de documentos aparentemente inofensivos, normalmente em formato Excel ou Word, aproveitando a vulnerabilidade CVE-2017-11882. Esta falha, que afetou o Microsoft Office Equation Editor e foi corrigida em 2017, serve como um alvo comum. Esses e-mails são enviados de servidores SMTP comprometidos para aumentar sua legitimidade e reduzir a probabilidade de serem bloqueados.
Nos casos em que uma versão desatualizada do Microsoft Office está em uso, a exploração aciona o download de um script Visual Basic (VBS) do serviço legítimo 'colar ao abrir o arquivo.ee'. Posteriormente, este script é executado para recuperar um arquivo de imagem (JPG) contendo uma carga útil codificada em base 64. Dentro do script incorporado na imagem, o código do PowerShell facilita a recuperação da carga final, oculta em um arquivo de texto e codificada no formato base64 invertido.
Numerosas Ameaças Prejudiciais são Implantadas como Cargas Finais
Os pesquisadores observaram inúmeras iterações da cadeia de ataque, cada uma introduzindo uma gama diversificada de famílias de malware. Entre estes estão o AgentTesla, funcionando como spyware capaz de realizar keylogging e roubo de credenciais; FormBook, especializado em coleta de credenciais e execução de comandos remotos; Remcos, permitindo gerenciamento e vigilância remota de máquinas; LokiBot, visando dados confidenciais de vários aplicativos; Guloader, servindo como downloader para cargas secundárias, Snake Keylogger, capturando pressionamentos de teclas e credenciais e XWorm, concedendo acesso remoto a computadores comprometidos.
As cargas finais e os scripts fraudulentos muitas vezes encontram refúgio em serviços de nuvem confiáveis, como o Google Drive, para explorar sua reputação favorável e evitar a detecção antimalware. As informações coletadas são transmitidas para servidores FTP legítimos comprometidos, mascarando o tráfego para parecer normal. Foram identificados mais de 320 ataques, com foco principal nos países da América Latina, embora o alcance dos alvos se estenda a todo o mundo.
O Phishing Continua sendo uma Ferramenta Extremamente Potente no Arsenal dos Cibercriminosos
Uma série de ataques de phishing lançados por cibercriminosos visando organizações governamentais na Rússia, Bielorrússia, Cazaquistão, Uzbequistão, Quirguistão, Tajiquistão e Arménia foram reveladas por especialistas em segurança da informação. Esses ataques implantam um malware chamado LazyStealer, projetado especificamente para extrair credenciais do Google Chrome. Os pesquisadores estão monitorando esta série de ataques, chamados coletivamente de Lazy Koala, em homenagem ao suposto controlador dos bots do Telegram que recebem os dados furtados.
Além disso, a análise dos dados demográficos das vítimas e das características do malware sugere possíveis conexões com outro grupo de hackers conhecido como YoroTrooper (também conhecido como SturgeonPhisher). A principal ferramenta utilizada por este grupo é um ladrão rudimentar, que emprega medidas de proteção para evitar a detecção, dificultar a análise, coletar todos os dados furtados e transmiti-los via Telegram. O Telegram tem sido cada vez mais preferido por agentes maliciosos como meio de comunicação seguro.
