Closed github-actions[bot] closed 2 months ago
:arrow_right: Grupo Head Mare explora brecha no WinRAR em campanha de ataques cibernéticos Um grupo hacktivista conhecido como Head Mare foi associado a uma série de ataques cibernéticos que têm como alvo exclusivo organizações localizadas na Rússia e Bielorrússia. De acordo com uma análise da Kaspersky, publicada na segunda-feira, o grupo utiliza métodos atualizados para obter acesso inicial aos sistemas das vítimas, incluindo a exploração da vulnerabilidade CVE-2023-38831 no WinRAR. Essa vulnerabilidade permite que atacantes executem códigos arbitrários no sistema por meio de um arquivo especialmente preparado, facilitando a entrega e a dissimulação de cargas maliciosas. Ativo desde 2023, o Head Mare é um dos grupos hacktivistas envolvidos nos ataques contra organizações russas no contexto do conflito entre Rússia e Ucrânia, que começou um ano antes. O grupo mantém uma presença ativa na plataforma X, onde vazou informações sensíveis e documentos internos de suas vítimas. Seus alvos incluem setores governamentais, de transporte, energia, manufatura e meio ambiente. Diferente de outros grupos hacktivistas que buscam causar “máximo dano” às empresas desses dois países, o Head Mare também criptografa dispositivos das vítimas usando o ransomware LockBit para Windows e Babuk para Linux (ESXi), exigindo um resgate para a descriptografia dos dados. Os atacantes disfarçam suas atividades criando tarefas agendadas e valores de registro com nomes como MicrosoftUpdateCore e MicrosoftUpdateCoree, fazendo-as parecer relacionadas ao software da Microsoft. Além disso, amostras do LockBit usadas pelo grupo foram encontradas com os nomes OneDrive.exe e VLC.exe, localizadas no diretório C:\ProgramData, se passando por aplicações legítimas como OneDrive e VLC. Segundo a Kaspersky, as táticas, métodos, procedimentos e ferramentas usadas pelo grupo Head Mare são, em geral, semelhantes às de outros grupos associados a ataques contra organizações na Rússia e Bielorrússia no contexto do conflito Rússia-Ucrânia.
:arrow_right: Malware Rocinante ataca usuários de Android no Brasil com phishing bancário. Usuários de dispositivos móveis no Brasil estão sendo alvo de uma nova campanha de malware que distribui um trojan bancário chamado Rocinante, projetado para roubar dados sensíveis de usuários de Android. Segundo os pesquisadores, o Rocinante é capaz de realizar keylogging utilizando o Serviço de Acessibilidade do Android, além de roubar informações pessoais (PII) das vítimas por meio de telas de phishing que se passam por aplicativos de bancos. Esse malware também pode utilizar as informações exfiltradas para realizar a tomada completa do dispositivo (DTO), aproveitando os privilégios do serviço de acessibilidade para obter acesso remoto total ao dispositivo infectado. Entre os principais alvos do Rocinante estão instituições financeiras como Itaú Shop e Santander, com aplicativos falsos que se disfarçam de Bradesco Prime e Correios Celular, entre outros. Uma análise do código-fonte do malware revelou que os operadores do Rocinante o chamam internamente de Pegasus (ou PegasusSpy), embora não tenha qualquer conexão com o spyware de mesmo nome desenvolvido pela NSO Group. Além disso, o malware estabelece contato com um servidor de comando e controle (C2) para aguardar instruções adicionais, como simular eventos de toque e deslize na tela, que podem ser executados remotamente. As informações pessoais colhidas são exfiltradas para um bot no Telegram, que as organiza e publica em um chat acessível a criminosos. Essa campanha ocorre em paralelo a outras ameaças cibernéticas na América Latina, como uma recente operação identificada pela Symantec que visa regiões de língua espanhola e portuguesa, utilizando o domínio secureserver[.]net para distribuir trojans bancários por meio de arquivos .hta e payloads em JavaScript.
Agradecimentos ao Thierre Madureira de Souza pela inspiração
Automação desenvolvida por /Enderson Menezes/ e /Elias Júnior/
Aprenda a programar em Codaqui.dev
Fonte: https://boletimsec.com.br/boletim-diario-ciberseguranca/
:point_down: