Anteriormente associado com ataques patrocinados pelo país como o worm Stuxnet, malwares fileless agora vai Mainstream. De acordo com um futuro Kaspersky Lab pesquisa, redes de pelo menos 140 bancos foram infectados por malware sem arquivo que depende do design da memória para permanecer quase invisível, conforme explicado pela Arstechnica.
Considerando as dificuldades em detectar tais ataques, o número de empresas afetadas é provavelmente muito maior do que o inicialmente previsto. A implantação de ferramentas legítimas e bastante populares, como PowerShell, Metasploit e Mimikatz para o processo de injeção torna a detecção quase impossível, pesquisadores apontam.
Em uma conversa com o especialista da Arstechnica Kaspersky Lab, Kurt Baumgartner, disse que “o que é interessante aqui é que esses ataques estão ocorrendo globalmente contra os próprios bancos”, acrescentando que na maioria dos casos os bancos não foram preparados de forma eficaz e não podem lidar com esses ataques. As coisas ficam ainda piores quando o anônimo 140 organizações estão espalhadas por todo o 40 países diferentes, conosco, França, Equador, Quênia, e o Reino Unido sendo os cinco territórios mais visados.
Infelizmente, Os pesquisadores da Kaspersky não conseguiram definir quem está por trás dos ataques, e se é um único grupo ou vários concorrentes. Por que é que? Malware sem arquivo em combinação com domínios de servidor de comando que, por padrão, não estão associados a nenhum dado Whois torna o processo de identificação bastante desafiador, se não for totalmente impossível.
Como a Kaspersky Lab encontrou essas descobertas?
A ameaça sem arquivo implantada contra bancos e empresas foi descoberta pela primeira vez no final de 2016. Isso é quando a equipe de segurança de um banco não identificado encontrou uma cópia do medidor de Preter, um componente na memória do Metasploit, residir na memória física de um controlador de domínio Microsoft, Arstechnica diz. A equipe concluiu posteriormente que o código do Meterpreter foi baixado e injetado na memória usando comandos do PowerShell. O sistema vitimado também usou a ferramenta de rede NETSH da Microsoft para transportar dados para servidores controlados pelos atacantes. Mimikatz também foi implantado para obter privilégios de administrador.
Quase não sobraram evidências de que os invasores ocultaram os comandos do PowerShell no registro do Windows. Ainda havia algumas evidências intactas deixadas - no controlador de domínio. Os pesquisadores acreditam que ainda estava lá porque não havia sido reiniciado antes que o Kaspersky começasse o exame. Eventualmente, os pesquisadores conseguiram restaurar o código do Meterpreter e do Mimikatz para determinar se as ferramentas foram implantadas para coletar senhas de administradores de sistemas e para a administração remota de computadores host infectados.
Estamos analisando o denominador comum em todos esses incidentes, que por acaso é este uso estranho na incorporação do PowerShell no registro para baixar o Meterpretor e, em seguida, realizar ações a partir dele com utilitários nativos do Windows e ferramentas administrativas do sistema.
Sobre como os ataques foram iniciados, nada ainda é concreto, mas é possível que a injeção de SQL tenha sido usada junto com exploits visando plug-ins do WordPress. Mais detalhes sobre os ataques de malware sem arquivo são esperados em abril, incluindo detalhes sobre como as infecções foram implantadas para desviar dinheiro de caixas eletrônicos.
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga: