Os cibercriminosos têm sido bastante ativos no desenvolvimento de novos malwares amostras e melhorando suas abordagens maliciosas. De acordo com as estatísticas do PurpleSec, atividade do crime cibernético em toda 2021 tem estado de pé 600% devido à pandemia COVID-19.
Como um resultado, pesquisadores de cibersegurança analisaram alguns novos, pedaços de malware nunca vistos anteriormente. Nós selecionamos 10 novas ameaças com vários recursos que foram detectadas na natureza nos últimos meses, visando Android, Mac OS, janelas, e Linux:
- Dois novos carregadores de malware: Wslink e SquirrelWaffle;
- Um rootkit Linux, chamado FontOnLake / HCRootkit;
- Dois cavalos de Troia Android banking: GriftHorse e Ermac;
- Duas portas traseiras sofisticadas: FoggyWeb e Solarmarker;
- O Meris DDoS botnet;
- O ransomware LockFile que usa criptografia exclusiva;
- O detectado em 2020 Malware XCSSET Mac, agora atualizado com novos recursos.
aviso Legal: As ameaças cibernéticas listadas neste artigo são uma pequena parte de todo o malware que surgiu em 2021. nosso top 10 seleção de 2021 malware é um mero exemplo do cenário de ameaças em constante evolução.
Carregador de malware Wslink
Um carregador de malware até então desconhecido foi descoberto em outubro, 2021. Chamado Wslink, a ferramenta é “simples, mas notável,”Capaz de carregar binários maliciosos do Windows. O carregador tem sido usado em ataques contra a Europa Central, América do Norte, e no Oriente Médio.
O que é único neste carregador anteriormente não documentado é sua capacidade de funcionar como um servidor e executar módulos recebidos na memória. De acordo com o relatório compilado por pesquisadores da ESET, o vetor de compromisso inicial também é desconhecido. Os pesquisadores não conseguiram obter nenhum dos módulos que o carregador deve receber. Nenhum código, funcionalidade ou semelhanças operacionais sugerem que o carregador foi codificado por um agente de ameaça conhecido.
SquirrelWaffle Malware Loader
Outro carregador de malware surgiu em outubro 2021, com potencial para se tornar “a próxima grande novidade” em operações de spam. Apelidado SquirrelWaffle, a ameaça é “spamming” de documentos maliciosos do Microsoft Office. O objetivo final da campanha é entregar o conhecido malware Qakbot, bem como Cobalt Strike. Estes são dois dos culpados mais comuns usados para direcionar organizações em todo o mundo.
De acordo com os pesquisadores do Cisco Talos, Edmund Brumaghin, Mariano Graziano e Nick Mavis, “O SquirrelWaffle fornece aos agentes de ameaças uma posição inicial nos sistemas e em seus ambientes de rede.” Este ponto de apoio pode ser utilizado posteriormente para facilitar ainda mais o comprometimento e infecções por malware, dependendo das preferências de monetização dos hackers.
“As organizações devem estar cientes dessa ameaça, já que provavelmente persistirá em todo o cenário de ameaças em um futuro próximo,”Disseram os pesquisadores. Uma ameaça anterior do mesmo calibre é Emotet, que tem atormentado organizações por anos. Uma vez que as operações da Emotet foram interrompidas pela aplicação da lei, pesquisadores de segurança estão esperando que um novo jogador semelhante surja. E tem…
FontOnLake / HCRootkit Linux Rootkit
FontOnLake / HCRootkit é um novo, família de malware nunca vista, voltada para sistemas Linux. Apelidado de FontOnLake por pesquisadores da ESET, e HCRootkit da Avast e Lacework, o malware tem recursos de rootkit, design avançado e baixa prevalência, sugerindo que se destina principalmente a ataques direcionados.
De acordo com pesquisadores, o rootkit FontOnLake está continuamente sendo atualizado com novos recursos, o que significa que está em desenvolvimento ativo, e é altamente provável que continue a ser usado em 2022. Amostras do VirusTotal do malware revelam que seu primeiro uso na natureza remonta a maio 2020. Parece que o malware tem como alvo entidades no Sudeste Asiático, mas outras regiões podem em breve ser adicionadas à sua lista de alvos.
O malware concede acesso remoto aos seus operadores, e pode ser usado para coleta de credenciais e como um servidor proxy.
Cavalo de Troia GriftHorse Android
Um trojan Android nefasto, chamado GriftHorse e escondido em uma campanha agressiva de serviços móveis premium roubou centenas de milhões de euros. A descoberta vem de pesquisadores do Zimperium zLabs que descobriram que o trojan tem usado aplicativos Android maliciosos para aproveitar as interações do usuário para um alcance mais amplo e infecção.
“Esses aplicativos Android maliciosos parecem inofensivos ao olhar para a descrição da loja e as permissões solicitadas, mas essa falsa sensação de confiança muda quando os usuários são cobrados mês a mês pelo serviço premium que assinaram sem seu conhecimento e consentimento,”O relatório revelou.
Evidências forenses apontam que o ator da ameaça GriftHorse está executando sua operação desde novembro. 2020. não é de surpreender, os aplicativos Android maliciosos envolvidos foram distribuídos por meio do Google Play, mas as lojas de aplicativos de terceiros também foram aproveitadas. Após uma divulgação ao Google, a empresa removeu os aplicativos maliciosos da Play Store. A má notícia é que os aplicativos ainda estavam disponíveis para download em repositórios de aplicativos de terceiros na época do relatório original (setembro 2021).
Cavalo de Troia Ermac Android
ERMAC é outro, Trojan bancário Android não detectado anteriormente detectado em setembro 2021. O malware parece ter sido cunhado pelos cibercriminosos BlackRock e é baseado nas raízes do infame Cerberus.
“Se investigarmos ERMAC, podemos descobrir que ERMAC é um herdeiro de um conhecido malware Cerberus. Ele usa estruturas de dados quase idênticas ao se comunicar com o C2, ele usa os mesmos dados de string, e assim por diante,”Disse ThreatFabric. A primeira impressão dos pesquisadores foi que o novo Trojan é outra variante do Cerberus. Apesar de ter um nome diferente e usar diferentes técnicas de ofuscação e uma nova criptografia de string, ERMAC é outro trojan baseado em Cerberus.
A diferença com o Cerberus original é que ERMAC utiliza outro esquema de criptografia ao se comunicar com o servidor de comando e controle. Os dados são criptografados com AES-128-CBC, e prefixado com palavra dupla contendo o comprimento dos dados codificados, segundo o relatório.
Uma conexão definitiva com os operadores de malware BlackRock é o uso do mesmo endereço IP como comando e controle.
FoggyWeb Post-Exploitation Backdoor
Uma nova porta dos fundos atribuída ao ator de ameaça NOBELIUM, Acredita-se que esteja por trás da porta dos fundos do SUNBURST, Malware TEARDROP, e “componentes relacionados”.
De acordo com o Microsoft Threat Intelligence Center (MSTIC), o assim chamado FoggyWeb é uma porta dos fundos pós-exploração. O agente de ameaça NOBELIUM emprega várias técnicas para realizar o roubo de credenciais. Seu objetivo atual é obter acesso de nível de administrador aos Serviços de Federação do Active Directory (AD FS) servidores.
A porta dos fundos também é descrita como "passiva" e "altamente direcionada,”Com recursos sofisticados de exfiltração de dados. “Ele também pode receber componentes maliciosos adicionais de um comando e controle (C2) servidor e executá-los no servidor comprometido,”Os pesquisadores acrescentaram. Também é digno de nota que o malware opera permitindo o abuso da Linguagem de marcação para autorização de segurança (SAML) token no AD FS.
“Proteger os servidores AD FS é a chave para mitigar os ataques NOBELIUM. Detectando e bloqueando malware, atividade do atacante, e outros artefatos maliciosos em servidores AD FS podem quebrar etapas críticas em cadeias de ataque NOBELIUM conhecidas,”A Microsoft concluiu.
Porta traseira do marcador solar
Solarmarker é um backdoor e keylogger altamente modular com um multiestágio, Carregador PowerShell fortemente ofuscado que executa o backdoor .NET.
Marcadores solares atividades foram observadas de forma independente por pesquisadores da Crowdstrike e Cisco Talos. Ambas as empresas detectaram Solarmarker no ano passado, em outubro e setembro, respectivamente. Contudo, Talos diz que alguns dados de telemetria de DNS até apontam para abril 2020. Foi quando os pesquisadores descobriram três componentes DLL primários e múltiplas variantes apresentando comportamento semelhante.
“A campanha em andamento do Solarmarker e a família de malware associada são preocupantes. Foi inicialmente capaz de operar e evoluir ao longo de um período significativo de tempo, permanecendo relativamente não detectado,”Os pesquisadores observam na conclusão. Eles também esperam ver mais ações e desenvolvimento dos autores do Solarmarker, que provavelmente incluirão novas táticas e procedimentos para o malware.
Botnet Meris DDoS
No final de junho, 2021, pesquisadores de segurança da empresa russa Qrator começaram a observar "um botnet de um novo tipo". Seguiu-se uma pesquisa conjunta com Yandex para descobrir mais sobre esta nova ameaça de DDoS "emergindo quase em tempo real".
Bastante substancial, força de ataque em constante crescimento, como Qrator colocou, foi descoberto na forma de dez de milhares de dispositivos host. O botnet foi apelidado Meris, significa peste em letão.
"Separadamente, Qrator Labs viu o 30 000 dispositivos host em números reais por meio de vários ataques, e Yandex coletou os dados sobre 56 000 hosts de ataque,”De acordo com o relatório oficial. Este número é provavelmente ainda maior, alcançando 200,000. É digno de nota que os dispositivos deste botnet são altamente capazes e não são os dispositivos estatisticamente médios conectados via Ethernet.
The New Mirai?
“Algumas pessoas e organizações já chamam o botnet de“ um retorno de Mirai ”, que não pensamos ser preciso,”Qrator notou. Uma vez que os pesquisadores não viram o código malicioso por trás deste novo botnet, eles não podem dizer com certeza se é de alguma forma relacionado a Mirai. Contudo, já que os dispositivos que ele une vêm de apenas um fabricante, Mikrotek, é mais provável que o botnet Meris não tenha nada a ver com Mirai.
LockFile Ransomware
o LockFile ransomware surgiu em julho 2021. O ransomware tem explorado as vulnerabilidades do ProxyShell em servidores Microsoft Exchange em seus ataques. As falhas são implantadas “para violar os alvos sem correção, servidores Microsoft Exchange locais, seguido por um ataque de retransmissão PetitPotam NTLM para assumir o controle do domínio,”De acordo com Mark Loman da Sophos.
O que é mais notável sobre este ransomware, Contudo, é sua criptografia. A criptografia intermitente não foi usada por nenhum ransomware conhecido até agora, e foi escolhido pelos atores da ameaça para fins de evasão.
Como funciona a criptografia intermitente? O criptovírus criptografa cada 16 bytes de um arquivo em uma tentativa de evitar a detecção por soluções de proteção de ransomware. Pelo visto, um documento criptografado desta forma parece muito semelhante ao original criptografado.
A evasão é possível nos casos em que as ferramentas anti-ransomware usam o chamado "qui-quadrado (chi ^ 2)" análise, alterando a forma estatística como esta análise é feita e, portanto, confundindo-a.
Também é digno de nota que o ransomware não precisa se conectar a um servidor de comando e controle, tornando seu comportamento invisível ainda mais sofisticado, o que significa que ele pode criptografar dados em máquinas que não têm acesso à Internet.
Malware XCSSET Mac
Em março, 2021, Pesquisadores do Sentinel Labs tomaram conhecimento de um projeto Xcode trojanizado voltado para desenvolvedores iOS. O projeto era uma versão maliciosa de um legítimo, projeto de código aberto disponível no GitHub, permitindo que programadores de iOS usem vários recursos avançados para animar a barra de guias do iOS.
Uma campanha semelhante foi detectada em abril, visando desenvolvedores Xcode, equipado com Macs rodando os novos chips M1 da Apple. O malware também é capaz de roubar informações confidenciais de aplicativos de criptomoeda.
Deve-se notar que o chamado Malware XCSSET foi descoberto pela primeira vez em agosto, 2020, quando estava se espalhando por meio de projetos Xcode IDE alterados. O malware geralmente age reempacotando módulos de carga útil para aparecer como aplicativos Mac legítimos, que acabam infectando projetos Xcode locais.
Os módulos do malware incluem roubo de credencial, captura de tela, injetar JavaScript malicioso em sites, roubando dados do app, e em alguns casos, até mesmo recursos de ransomware.
Variantes mais recentes de XCSSET são compiladas especificamente para chips Apple M1. Este é um sinal claro de que os operadores de malware estão adaptando seu malware para se adequar às tecnologias mais recentes da Apple.
Em conclusão…
Todos os casos de malware descritos acima mostram a importância da proteção adequada, prevenção e excelentes hábitos de higiene online. Nestes tempos difíceis, não nos esqueçamos de como é crucial pensar em nossa segurança online, também.
PS: Se você achou este artigo útil, certifique-se de ler:
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga: