Closed github-actions[bot] closed 1 month ago
:arrow_right: Cibercriminosos Brasileiros Miram Usuários na Itália com o Malware SambaSpy. Pesquisadores de segurança cibernética identificaram um novo malware chamado SambaSpy, que está focado exclusivamente em usuários na Itália através de uma campanha de phishing, possivelmente coordenada por um grupo de cibercriminosos brasileiros. A descoberta foi divulgada pela Kaspersky, que destacou o ineditismo da abordagem geográfica restrita. Ao contrário de outros ataques, que tentam atingir o maior número possível de vítimas, o SambaSpy está atualmente concentrado apenas no território italiano. O ataque começa com um e-mail de phishing que inclui um anexo HTML ou um link que inicia o processo de infecção. Se o anexo HTML for aberto, um arquivo ZIP contendo um downloader ou dropper é ativado, executando a carga útil do malware. O downloader busca o malware em um servidor remoto, enquanto o dropper o extrai de um arquivo local. Esse método multifacetado permite que o ataque se desenrole de diferentes maneiras, dependendo da interação da vítima. Outro vetor de ataque ocorre quando o link de phishing redireciona a vítima para uma página legítima de faturas no FattureInCloud, mas apenas se o alvo não for o pretendido. Caso o alvo seja adequado, o link malicioso direciona o usuário para um servidor que analisa se o navegador é o Edge, Firefox ou Chrome configurado em italiano. Apenas se essas condições forem atendidas, o malware avança para a próxima etapa de infecção, que envolve o download de um arquivo JAR contendo o malware. O SambaSpy é um trojan de acesso remoto (RAT) desenvolvido em Java, com uma gama de funcionalidades que inclui desde gerenciamento de arquivos e captura de telas até controle de webcam, keylogging e roubo de credenciais de navegadores como Chrome e Edge. Além disso, o malware tem a capacidade de carregar plugins adicionais em tempo real, permitindo expandir suas capacidades conforme necessário. A análise da infraestrutura do ataque sugere que os cibercriminosos por trás do SambaSpy estão expandindo suas operações para o Brasil e a Espanha, reforçando a hipótese de que se trata de um grupo de origem brasileira. Essa expansão está alinhada com a tendência de atacantes latino-americanos focarem em países europeus com idiomas semelhantes, como Itália, Espanha e Portugal.
:arrow_right: Nova Campanha de Cryptojacking ataca Servidores CentOS. Uma nova campanha de cryptojacking, atribuída ao grupo TeamTNT, está focando servidores baseados no sistema operacional CentOS, particularmente em infraestruturas de servidores virtuais privados (VPS). Pesquisadores da empresa de cibersegurança Group-IB relataram que o ataque é iniciado através de uma força bruta no protocolo Secure Shell (SSH), permitindo que os atacantes carreguem scripts maliciosos nos sistemas das vítimas. Esses scripts são projetados para desabilitar recursos de segurança, deletar logs, interromper processos de mineração de criptomoedas em execução e dificultar os esforços de recuperação. O objetivo final da campanha é implantar o rootkit Diamorphine, permitindo que os invasores ocultem processos maliciosos e mantenham acesso remoto persistente ao servidor comprometido. Com base nas táticas, técnicas e procedimentos (TTPs) observados, os pesquisadores associam essa campanha ao grupo TeamTNT com um nível moderado de confiança. O grupo, que foi identificado pela primeira vez em 2019, é conhecido por realizar atividades de mineração ilegal de criptomoedas, explorando ambientes de nuvem e containers. Embora o TeamTNT tenha anunciado sua “saída limpa” em novembro de 2021, campanhas subsequentes sugerem que o grupo continuou suas operações desde setembro de 2022. O malware usado na campanha começa verificando se o sistema já foi infectado por outras operações de cryptojacking. Em seguida, o script compromete a segurança do dispositivo ao desabilitar o SELinux, o AppArmor e o firewall. Também busca daemons específicos relacionados ao provedor de nuvem Alibaba, removendo serviços da plataforma quando detectados. Além de interromper outros processos de mineração, o malware executa comandos para apagar qualquer vestígio de mineradores anteriores, encerra processos containerizados e remove imagens de containers que possam estar associadas a atividades de mineração.
:arrow_right: Cibercriminosos Usam Ransomware para Atacar Organizações de Saúde nos EUA. A Microsoft divulgou que um grupo de cibercriminosos tem utilizado pela primeira vez o ransomware INC em ataques direcionados ao setor de saúde nos Estados Unidos. O grupo, conhecido como Vanilla Tempest (anteriormente DEV-0832), está sendo monitorado pela equipe de inteligência de ameaças da gigante da tecnologia. Segundo a Microsoft, o Vanilla Tempest recebe o controle de infecções causadas pelo GootLoader, um malware distribuído pelo grupo Storm-0494. Após esse ponto inicial, o grupo utiliza ferramentas como o backdoor Supper, o AnyDesk e a ferramenta de sincronização de dados MEGA para seguir com suas atividades maliciosas. Os atacantes realizam movimentos laterais dentro da rede comprometida utilizando o protocolo de Remote Desktop Protocol (RDP) e o serviço Windows Management Instrumentation (WMI) para, em seguida, distribuir o ransomware INC. Acredita-se que o Vanilla Tempest esteja ativo desde julho de 2022, com ataques anteriores mirando setores como educação, saúde, TI e manufatura, utilizando outras variantes de ransomware como BlackCat, Quantum Locker, Zeppelin e Rhysida. O grupo também é conhecido sob o nome Vice Society, que se caracteriza por reutilizar ferramentas de ransomware já existentes em vez de desenvolver uma versão personalizada. Esse método facilita ataques e torna mais difícil rastrear a origem dos malwares utilizados. O alerta da Microsoft chega em um momento em que outros grupos de ransomware, como BianLian e Rhysida, têm empregado ferramentas como Azure Storage Explorer e AzCopy para transferir grandes volumes de dados sensíveis de redes comprometidas para armazenamento em nuvem, na tentativa de evitar a detecção.
Agradecimentos ao Thierre Madureira de Souza pela inspiração
Automação desenvolvida por /Enderson Menezes/ e /Elias Júnior/
Aprenda a programar em Codaqui.dev
Fonte: https://boletimsec.com.br/boletim-diario-ciberseguranca/
:point_down: