pesquisadores de segurança Computer lançou o Q3 2017 relatório vírus indicando as últimas ameaças que sinaliza as intenções dos hackers que estão por trás o malware. O relatório trimestral oferece uma visão sobre para onde os criminosos estão indo e como eles mudaram de tática em períodos anteriores.
Q3 2017 Ameaças de malware revelam atividade constante de malware
Os relatórios de segurança fornecem uma ampla visão geral das táticas que os criminosos de computador usaram no processo de criação de malware. O período de três meses também revela algumas das tendências mais recentes e o progresso daqueles coletivos criminosos que continuam a usar código baseado nas famílias de malware famosas, como Hidden Tear (EDA2), Dharma e outros. Com essas informações, podemos ilustrar algumas das principais tendências e ataques em grande escala que são realizados contra usuários finais e alvos corporativos.
Ameaças de malware utilizam técnicas de espionagem
Uma das principais conclusões do relatório é o fato de que uma grande parte dos vírus de computador de alto impacto incluía um cavalo de Tróia avançado ou componente de espionagem. A espionagem é considerada uma das atividades mais lucrativas quando se trata de planejamento criminal. Os especialistas observam que 10 fora de 24 relatórios especializados em vírus mencionam especificamente a espionagem como o principal objetivo por trás da ameaça analisada. Os analistas chegaram à conclusão de que os atores sediados na China ou filiados a organizações do país tendem a utilizar tais estratégias.
Dois ataques dignos de nota são mencionados:
- Netsarang - O site de distribuição da Netsarang foi o principal vetor de ataque de um malware perigoso conhecido como ShadowPad backdoor. Os hackers foram capazes de invadir o site do fornecedor e colocar os instaladores de software falsificado no lugar de arquivos legítimos. O incidente de segurança foi relatado e confirmado posteriormente por uma empresa de segurança cibernética independente que estava por trás da análise após a detecção de atividade suspeita proveniente de um pacote localizado nas redes da empresa infectada. Esta é uma ameaça de backdoor sofisticada que tem a capacidade de causar uma série de atividades de malware. Os exemplos incluem os seguintes módulos: roubo de dados, infecções por vírus, infecções de rede, Ataques DDOS e etc.
- O incidente de backdoor CCleaner - Um dos eventos mais alarmantes dos últimos meses foi a infecção do CCleaner que aconteceu em setembro. Os servidores Piriform incluíram uma versão backdoor de seu software mais popular - o aplicativo CCleaner freeware, conseqüentemente, isso afetou milhões de usuários. Acredita-se que várias versões foram afetadas. Como resultado da infecção, uma porta dos fundos de dois estágios é imposta nas máquinas alvo. É capaz de receber comandos dos operadores do hacker e espiar as ações das vítimas.
O terceiro trimestre 2017 Relatórios de vírus discutem os ataques dignos de nota
Uma parte importante do terceiro trimestre 2017 relatórios de vírus é a análise relativa aos ataques em grande escala contra instituições estatais e servidores governamentais. Os analistas especulam que os incidentes podem estar relacionados a ações políticas, como implementações ou negociações de políticas. Um exemplo é a Iron Husky campanha de vírus direcionada a empresas de aviação governamentais e centros de pesquisa específicos da Rússia e da Mongólia. Os ataques foram descobertos em julho, após conversas anteriores entre os dois países para modernizar a defesa aérea da Mongólia com a ajuda da Rússia. Algumas semanas, os ataques foram iniciados presumivelmente por criminosos chineses.
Outro ataque semelhante aconteceu depois que Índia e Rússia assinaram um acordo para a expansão de uma usina nuclear na Índia. Ambos os países sofreram ataques de um vírus perigoso chamado “H2ODecomposição” que se mascarou como um produto antivírus popular de um fornecedor indiano.
Malware ATM em ascensão
Relatórios dedicados foram feitos sobre a tendência crescente de ataque a máquinas ATM com formas avançadas de malware. Duas ameaças específicas foram observadas como de alto perfil e bastante eficazes em comprometer um grande número de hosts.
O primeiro é chamado “costeleta Criador” e seu sucesso parece vir do fato de que o código foi vendido publicamente no popular mercado clandestino de hackers Alphabay. É composto por três módulos que fazem parte do módulo de infecção do núcleo - uma verificação de saldo ATM, retirada de dinheiro e cliente de interações. Os hackers postaram um tutorial detalhado sobre como hackear as máquinas das vítimas e, usando o vírus Cutlet Maker, contaminá-las para que o saque de dinheiro possa ser iniciado.
A outra ameaça é chamada “Proxy ATM” e é projetado para permanecer latente na máquina infectada até que um cartão de malware com código codificado específico seja introduzido no caixa eletrônico. Uma vez feito isso, o dinheiro é distribuído em uma quantia predefinida para os hackers.
Infecções com o Vírus ATMii ATM não são mencionados nos relatórios principais, porém merecem ser mencionados nesta categoria. As instâncias pertencentes a esta família são compostas por dois componentes principais: O módulo injetor e o mecanismo de vírus. Ele permite que os hackers controlem as máquinas e conduzam as operações do sistema operacional em execução nos dispositivos comprometidos. Um fato perigoso relacionado às infecções é que dependendo das verificações de segurança em alguns casos as infecções não podem ser detectadas por todos os métodos.
Detalhes sobre os ataques de malware do Lambert Toolkit
O Lambert Toolkit é um malware perigoso que tem sido apresentado em várias iterações desde 2014. Suas várias versões têm nomes de cores: azul, verde, rosa e cinza. A mais nova adição é o “vermelho” versão que foi descoberta durante uma análise completa de computadores comprometidos. Apresentava certificados SSL codificados embutidos nos servidores de controle e comando controlados por hackers. Como é baseado em um código antigo, é muito possível que algumas das características principais das variantes mais antigas tenham sido mantidas.
Alguns dos recursos notáveis associados a diferentes cepas que são identificadas como versões provisórias do kit de ferramentas Lambert incluem os seguintes mecanismos: ataques de segundo estágio, Intrusões do Mac OS X, entrega de carga útil personalizada, função de colheita modular, infecções passivas e infiltração de modo de usuário.
Atividades sul-coreanas são ativamente monitoradas
Os especialistas em segurança detectaram que dois malwares de alto impacto foram produzidos por criminosos sul-coreanos. Dois relatórios especializados foram dedicados aos vírus chamados Scarcruft e Bluenoroff. Scarcruft é um grupo APT designado. Cepas de vírus foram encontradas para atacar outros alvos, incluindo a Rússia, Nepal, China, Índia, Kuwait e Romênia. Os principais vetores de ataque incluem explorações de vulnerabilidade para softwares populares, como Adobe Flash Player e Microsoft Internet Explorer.
Bluenoroff é operado por um grupo de hackers do grupo de hackers Lazarus. Como o malware anterior, ele também é usado em ataques em outros países: México, Uruguai, Rússia, Austrália, Noruega, Índia, Nigéria, Polônia e peru. Infecções foram feitas tanto contra instituições estatais quanto contra empresas financeiras privadas, cassinos, fornecedores de software comercial e empresas de criptomoeda.
Os relatórios indicam campanhas variadas
Durante a investigação das atividades do hacker durante o período, os especialistas também utilizaram algumas outras fontes de informação. Um exemplo notável é um usuário anônimo que pagou hackers de computador nas comunidades clandestinas para acessar hashes de arquivos confidenciais. Isso identificou uma ferramenta de malware chamada “Fantasia Tripla” que é uma ferramenta usada para verificar alvos pelo Equation Group. Este é o mesmo mecanismo de ataque suspeito de ser usado pela NSA dos EUA para realizar atividades de espionagem.
Os criminosos de computador continuam a usar códigos disponíveis gratuitamente e ferramentas de código aberto para infectar alvos. Alguns dos aspectos preocupantes é que a maioria das campanhas parece ter motivação política, como o Dark Cyrene que impactou países localizados no Oriente Médio. Uma grande campanha de espionagem no Chile também ocorreu (chamado “Pisco Gone Sour”) e os ataques na Ucrânia continuam com uma nova série de sites de phishing e ataques DDOS. As instituições financeiras também foram afetadas por um cavalo de Troia perigoso chamado “O silêncio”.
Como sempre, pedimos aos usuários de computador que confiem em uma solução de segurança confiável e de qualidade, capaz de proteger seus sistemas e remover infecções ativas com alguns cliques do mouse.
digitalizador Spy Hunter só irá detectar a ameaça. Se você quiser a ameaça de ser removido automaticamente, você precisa comprar a versão completa da ferramenta anti-malware.Saiba Mais Sobre SpyHunter Anti-Malware Ferramenta / Como desinstalar o SpyHunter
Martin Beltov
Martin formou-se na publicação da Universidade de Sofia. Como a segurança cibernética entusiasta ele gosta de escrever sobre as ameaças mais recentes e mecanismos de invasão.
Me siga: