github-actions[bot]
commented
1 year ago Boletim de Segurança
:arrow_right: Detalhes pessoais desmascaram membro principal do grupo Trickbot. Uma investigação da WIRED revelou detalhes sobre o Trickbot, uma das principais gangues de cibercrime do mundo. A investigação se baseou em documentos divulgados por uma figura desconhecida e expôs segredos do grupo, incluindo a identidade de um membro central conhecido como Bentley. A divulgação dos dados chamou a atenção das autoridades globais. Isso aconteceu em um contexto de esforços coordenados dos Estados Unidos e do Reino Unido para desmantelar e sancionar cibercriminosos russos, incluindo alguns membros do Trickbot. A identidade por trás do apelido Bentley foi revelada como “Max” Galochkin. A descoberta foi possível graças a deslizes na comunicação entre os membros do Trickbot, que acabaram revelando detalhes pessoais. Informações adicionais, como registros telefônicos e dados vazados, ajudaram a confirmar a identidade offline de Galochkin, que está ligado a um endereço na cidade russa de Abakan. A revelação da identidade de Galochkin é significativa, pois ele é uma das “personalidades-chave” que operam o Trickbot. O grupo tem recebido atenção particular devido à gravidade de seus crimes, incluindo tentativas de interferência nas eleições dos Estados Unidos em 2020. A exposição de Galochkin oferece uma visão detalhada de suas atividades dentro e fora do Trickbot.
:arrow_right: Malware de Código Aberto SapphireStealer Ameaça Segurança de Empresas. O malware SapphireStealer, baseado em .NET e de código aberto, está sendo usado por várias entidades para aprimorar suas capacidades e criar suas próprias variantes personalizadas. De acordo com Edmund Brumaghin, pesquisador da Cisco Talos, o SapphireStealer pode ser usado para obter informações sensíveis, incluindo credenciais corporativas. Essas informações são frequentemente revendidas a outros atores de ameaças para ataques adicionais, como operações relacionadas a espionagem ou ransomware. O SapphireStealer representa uma evolução do modelo de cibercrime como serviço, permitindo que outros atores de ameaças monetizem os dados roubados para distribuir ransomware e realizar outras atividades cibernéticas maliciosas. O malware possui características semelhantes a outros malwares do tipo “stealer” disponíveis na deep web, incluindo a capacidade de coletar informações do host, dados do navegador, arquivos e capturas de tela. O fato de seu código-fonte ter sido publicado gratuitamente em dezembro de 2022 permitiu que que os cibercriminosos melhorassem o malware, tornando-o difícil de detectar. Isso inclui a adição de métodos flexíveis de exfiltração de dados usando um webhook do Discord ou a API do Telegram.
:arrow_right: Hackers Norte-Coreanos lançam novos pacotes Python Maliciosos. Três novos pacotes Python maliciosos foram descobertos no repositório PyPI como parte de uma campanha de software malicioso em andamento chamada VMConnect, que aparentemente envolve atores patrocinados pelo estado norte-coreano. Os pesquisadores identificaram os pacotes tablediter, request-plus e requestspro. Esses pacotes imitam ferramentas Python populares para baixar um malware de segunda fase ainda desconhecido. Os atores maliciosos estão disfarçando seus pacotes para parecerem confiáveis, usando técnicas de typosquatting para se passar por pacotes legítimos como prettytable e requests. O código malicioso dentro do pacote tablediter foi projetado para executar em um loop infinito, onde um servidor remoto é consultado periodicamente para recuperar e executar um payload codificado em Base64. Uma das principais mudanças em tablediter é que ele não aciona o código malicioso imediatamente após a instalação, para evitar detecção por softwares de segurança. O servidor responde com um token, que o host infectado envia de volta para um URL diferente no mesmo servidor, recebendo em troca um módulo Python codificado duas vezes e um URL para download. Outros malwares, como JokerSpy e QRLog, também foram identificados em ataques relacionados, demonstrando a habilidade do ator de ameaça em escrever malwares funcionais em várias linguagens e para múltiplos sistemas operacionais.
Agradecimentos ao Thierre Madureira de Souza pela inspiração
Automação desenvolvida por /Enderson Menezes/ e /Elias Júnior/
Aprenda a programar em Codaqui.dev
Fonte: https://boletimsec.com.br/boletim-diario-ciberseguranca/
:point_down: