O grupo de hackers DeathStalker é um grupo de malware recentemente descoberto que se infiltrou em pequenas e médias empresas em todo o mundo. A pesquisa mostra que o foco principal são os estabelecimentos que atuam no setor financeiro. Surgiu pela primeira vez há alguns anos, principalmente como um grupo de hackers de fogo e agora se tornou um coletivo muito mais experiente e perigoso.
O experiente DeathStalker Hacking Grou lança ataque a empresas financeiras em todo o mundo
Pesquisadores de segurança de computadores indicam que o grupo de hackers DeathStalker é o culpado por trás de inúmeras campanhas de ataque de alto impacto. Eles parecem estar focados em estabelecimentos financeiros através do mundo: os continentes conhecidos que foram impactados até agora incluem a Europa, Ásia e América Latina. De Informação disponível é evidente que eles usaram sua experiência acumulada para criar ataques de hackers bem-sucedidos.
O que sabemos é que o grupo foi contatado por várias partes, a fim de conduzir intrusões contra redes alvo para pagamento. Esses mercenários criminosos estão ativos desde 2018, possivelmente até 2012 e podem estar ligados a outros grupos de hackers. Eles se tornaram conhecidos pela comunidade de segurança graças ao implante baseado em PowerShell que utilizamos chamado Poderoso. É distribuído principalmente aos alvos por meio de mensagens de e-mail de phishing SPAM que são preparados e enviados em massa. As vítimas receberão um arquivo LNK no conteúdo ou anexos. Está disfarçado de documento de escritório regular no entanto, quando lançado, ele executará a respectiva carga útil de alimentação. Ele executará uma infiltração muito complexa de vários estágios no sistema local.
A análise das amostras mostra que o implante se instalará como um vírus persistente – -ele será executado quando o computador estiver ligado e também dificultará o acesso às opções de recuperação ou siga os guias de remoção manual do usuário. Também incluirá um Agente cavalo de tróia que estabelecerá uma forte conexão com um servidor controlado por hacker e permitirá que os hackers assumam o controle das máquinas.
Isso praticamente permite que os hackers espionem constantemente as vítimas, incluindo a capacidade de tirar automaticamente capturas de tela da atividade do usuário e enviá-las às vítimas. Também permite execução de código arbitrário — isso permite não apenas vários tipos de mudanças de sistema, mas também a capacidade de implantar outro malware.
Durante o ataque de hacking DeathStalker, a análise de segurança revela que os hackers utilizaram vários serviços públicos como resolvedores de queda morta — usando-os como hosts de conteúdo, os hackers podem instruir o malware remoto a executar comandos ou fornecer URLs para as cargas de malware. Eles são codificados em mensagens de texto simples como comunicação comum, mas cada linha na verdade sinaliza um código oculto que os vírus locais podem entender. Os scripts do PowerShell PowerShell usam os seguintes:
Google+, Imgur, Reddit, ShockChan, Tumblr, Twitter, YouTube e WordPress
Os especialistas acreditam que esta ferramenta sofisticada de hacking continuará a ser desenvolvida e usada em ataques futuros. Tudo isso mostra que os criminosos informáticos estão empenhados em criar formas complexas de infectar o maior número possível de alvos.
Martin Beltov
Martin formou-se na publicação da Universidade de Sofia. Como a segurança cibernética entusiasta ele gosta de escrever sobre as ameaças mais recentes e mecanismos de invasão.
Me siga: