Muito poucos bancos têm sido alvo nos chamados rega ataques buracos. Os ataques de janeiro contra instituições polonesas, onde um site da Autoridade de Supervisão Financeira da Polônia foi usado, foram apenas o começo de uma série de eventos infelizes. O estágio final das operações maliciosas foi a entrega do Downloader.Ratankba.
O que é um Ataque Watering Hole?
Basicamente, a rega ataque buraco é um exploit de segurança que visa comprometer um grupo precisa dos consumidores por impressionantes sites que o grupo está visitam regularmente. O objetivo final é bastante óbvio - infectando os alvos computadores e obter acesso remoto às redes nas vítimas local de trabalho
A estratégia de ataque computador foi identificado em 2012 pela RSA Security. A estratégia pode ser bastante eficiente - todos nós visitar nossas páginas favoritas de uma forma regular, diariamente. Mesmo que pode ser bastante inteligente e rir das pessoas que caem para esquemas de phishing, nós ainda poderia tornar-se presas de malware simplesmente saltar para uma página amado.
Agora, vamos voltar aos recentes ataques de watering hole que têm comprometido várias organizações financeiras. Vários bancos já compartilharam detalhes dos incidentes, e informações sobre mais incidentes estão chegando à luz. Pesquisadores da Symantec e da BAE Systems concluíram que as instituições mais afetadas estão na Polônia, os EUA, o Reino Unido, México e Chile.
Pesquisadores da BAE Systems foram capazes de identificar mais poços de água, como os sites da Comissão Nacional de Bancos e Ações do México e de um banco estatal do Uruguai. Os sites das instituições foram bloqueados e continham códigos que acionaram o download de arquivos JavaScript maliciosos de domínios comprometidos. Os domínios hospedavam um kit de exploit que usava exploits Silverlight e Flash. A fase final da operação foi, não surpreendentemente, distribuição de malware.
Ao examinar o código no site do kit de exploração, uma lista de 255 Strings de endereço IP foram encontradas. Os IPs continham apenas o primeiro 3 bytes, e teria sido usado para filtrar o tráfego de forma que apenas os IPs dessa sub-rede recebessem o exploit e a carga útil. Os endereços IP corresponderam a uma mistura de instituições financeiras públicas e privadas espalhadas por todo o mundo,”BAE Systems explicou.
O malware distribuído anteriormente não detectado: Downloader.Ratankba
Os pesquisadores relataram que o malware usado nesses ataques foi o Downloader.Ratankba. Curiosamente, o downloader não foi identificado anteriormente, e a Symantec usou assinaturas de detecção genéricas.
Ratankba foi observado em contato com o olho-relógio[.]no comando e controle (C&C) comunicações. Ratankba foi então observado baixando um Hacktool. Este Hacktool mostra características distintas compartilhadas com malware anteriormente associado ao Lazarus.
Lazarus é um grupo de hackers que opera desde 2009. Ele tem como alvo instituições localizadas principalmente nos Estados Unidos e na Coreia do Sul.
Para se manter protegido contra ataques de malware de todos os tipos, os usuários são altamente aconselhados a manter seus sistemas protegidos o tempo todo.
digitalizador Spy Hunter só irá detectar a ameaça. Se você quiser a ameaça de ser removido automaticamente, você precisa comprar a versão completa da ferramenta anti-malware.Saiba Mais Sobre SpyHunter Anti-Malware Ferramenta / Como desinstalar o SpyHunter