A ISH Tecnologia, uma referência nacional em cibersegurança, divulga mensalmente um relatório sobre as principais ameaças cibernéticas encontradas por sua equipe de especialistas. Em outubro, a empresa destacou novos malwares, além dos já conhecidos, que têm como foco o roubo de dados bancários empresariais e individuais. Além disso, foram apontados ataques a sistemas Android e IOS, e o surgimento do grupo IRoX Team – apoiador da Palestina e seus aliados.
Nova variante do trojan bancário BBTok
Uma nova variante do malware trojan bancário, também conhecido como BBTok, foi identificada e tem como alvo principal mais de 40 bancos da América Latina. Detectada pela primeira vez em 2020, o BBTok depende de uma nova cadeia de infecção, e para isso usam uma campanha de infecção de baixa detecção chamada Living off the Land Bineries (LOLBins).
A nova campanha do malware tem como foco principal usuários do Brasil e do México, persuadindo-os a inserirem seus códigos MFA ou até mesmo seus dados bancários. Para que isso ocorra, os atacantes exibem uma interface falsa se passando por bancos legítimos enganando a vítima a fornecer suas informações pessoais e financeiras.
Campanha Silent Skimmer identificada contra empresas de pagamento
Uma nova campanha identificada como “Silent Skimmer” apresenta um ator de ameaça com motivação financeira que visa empresas vulneráveis de pagamento, principalmente na Ásia-Pacífico e na América do Norte. A campanha tem como alvo setores que hospedam ou criam infraestrutura de pagamento – roubando informações confidenciais como dados bancários.
Spyware Predator para dispositivos iOS e Android
O Spyware conhecido como Predator foi entregue a iPhones utilizando de vulnerabilidades de zero day do IOS, e para Androids utilizando Chrome e ataques man-in-the-middle (MitM).
Recomendações para mitigação
Para mitigar a infecção desses malwares, a ISH Tecnologia recomenda a adoção de medidas de proteção de borda, como Firewall; conscientização de colaboradores para com e-mails; não realizar o download de artefatos contidos em e-mails suspeitos; adoção de medidas antivírus; manter o software sempre atualizado, tanto o sistema operacional quanto aplicativos e software de segurança; utilizar antivírus e antimalware, para assim detectar e remover o malware encontrado; ativar o firewall; utilizar senhas fortes e únicas, misturando letras minúsculas, maiúsculas, números e caracteres especiais; autenticação de dois fatores (2FA), para adicionar uma camada extra de segurança; e fazer backups regulares.
Patches para Zero Days
Em setembro, a Apple informou a seus usuários sobre a disponibilidade de patches para três zero days classificados como:
- CVE-2023-41991 (ignorar verificação de assinatura)
- CVE-2023-41992 (escalonamento de privilégios locais)
- CVE-2023-41993 (execução de código arbitrário via página web maliciosa).
O grupo Citizen Lab da Universidade de Toronto e a Threat Analysis Group do Google, que foram creditados por relatar a vulnerabilidade à Apple, afirmam que as falhas foram encadeadas em um ataque contra um político no Egito. Temos um post que explica o que é um CVE.
Spyware Predator
Assim que a vítima ligasse seus dados móveis, o atacante a direcionaria para um site configurado para servir o spyware Predator, que foi atribuído a duas entidades relacionadas a Cytrox e Intellexa. Além disso, por ser um ataque usando MitM, não é necessária a interação do usuário, caracterizando como “0-click”, basta apenas atender qualquer chamada telefônica.
Para Androids, o Google também relatou uma cadeia de exploração, porém não conseguiu identificar todas as vulnerabilidades envolvidas. A cadeia de exploração Android foi entregue não apenas por ataques MitM, mas também por meio de links maliciosos enviados diretamente ao alvo em mensagens SMS e WhatsApp.
IRoX Team
O grupo de ameaças IRoX Team, recentemente divulgou em seu canal do Telegram que realizará ataques cibernéticos em determinados países além de divulgar as datas que acontecerão. Os atores mostram seu apoio à resistência palestina contra os israelenses, declarando seu propósito de se engajar em uma batalha digital contra Israel e seus aliados. Para o grupo, o objetivo é: “aniquilar por completo o ambiente virtual daqueles que respaldam os judeus israelenses”. Um dos países que o grupo planejava atacar é o Brasil, no dia 20 de outubro.
Até o momento, não havia informações prévias sobre o IRoX Team, porém foi possível coletar informações sobre quem seriam os líderes ou agentes que atuavam juntamente do grupo, além de usuários querendo se juntar à causa. Após a identificação dos possíveis administradores, foi realizado uma busca para tentar encontrar informações sobre TTPs, possíveis localidades e outros fatores.
Além das informações apresentadas, foi identificado que IRoX possui vínculo com as equipes:
- Team Dishari (Bangladesh)
- Death Cyber Army
- Team BADS – Security Researches
- DDoS Project (Rússia)