A equipe de Inteligência de Ameaças da Microsoft descobriu que um agente de ameaça rastreado como Storm-1811 abusando da ferramenta de gerenciamento de clientes Quick Assist para atingir usuários em ataques de ransomware.
Storm-1811 e os ataques de ransomware
De acordo com um relatório publicado em 15 de maio de 2024 pela Microsoft, Storm-1811 é um grupo cibercriminoso com motivação financeira conhecido por implantar o ransomware Black Basta. A cadeia de ataque envolve o uso de falsificação de identidade por meio de phishing de voz para enganar vítimas inocentes para que instalem ferramentas de monitoramento e gerenciamento remoto (RMM), seguido pela entrega do QakBot , Cobalt Strike e, por fim, do ransomware Black Basta.
Os atores da ameaça usam indevidamente os recursos do Quick Assist para realizar ataques de engenharia social, fingindo, por exemplo, ser um contato confiável, como o suporte técnico da Microsoft ou um profissional de TI da empresa do usuário alvo, para obter acesso inicial a um dispositivo alvo.
Notícias Relacionadas
Cibercriminosos usam mais de 3.000 contas do GitHub para distribuir malware
Cibercriminosos conhecidos como Stargazer Goblin criaram um malware Distribution-as-a-Service (DaaS) de mais de 3.000 contas falsas no GitHub que espalham malware para roubo de informações dos usuários da plataforma. Contas do GitHub usadas para distribuir malware O serviço de entrega de malware é chamado Stargazers Ghost Network e utiliza repositórios GitHub junto com sites WordPress […]
Grupo APT Daggerfly foi flagrado usando versão atualizada do backdoor do Macma macOS
O grupo de cibercriminosos APT Daggerfly, ligado à China, foi flagrado usando uma versão atualizada do backdoor do macOS Macma. O grupoatualizou significativamente seu arsenal de malware, adicionando uma nova família de malware. Versão atualizada do backdoor do Macma macOS é lançada pelo APT Daggerfly As informações de que o grupo de espionagem Daggerfly (também […]
Quick Assist é um aplicativo legítimo da Microsoft que permite aos usuários compartilhar seus dispositivos Windows ou macOS com outra pessoa por meio de uma conexão remota, principalmente com a intenção de solucionar problemas técnicos em seus sistemas. Ele vem instalado por padrão em dispositivos que executam Windows 11.
Os ataques
Para tornar os ataques mais convincentes, os agentes da ameaça lançam ataques de listagem de links, um tipo de ataque de e-mail bombista em que os endereços de e-mail visados são inscritos em vários serviços legítimos de subscrição de e-mail para inundar as suas caixas de entrada com conteúdo subscrito.
O adversário então se disfarça como a equipe de suporte de TI da empresa por meio de ligações telefônicas para o usuário alvo, com a intenção de oferecer assistência para remediar o problema de spam e persuadi-lo a conceder acesso ao seu dispositivo por meio do Quick Assist. “Uma vez que o usuário permite acesso e controle, o agente da ameaça executa um comando cURL com script para baixar uma série de arquivos em lote ou arquivos ZIP usados para entregar cargas maliciosas”, disse o fabricante do Windows.
O Storm-1811 aproveita seu acesso e realiza outras atividades práticas no teclado, como enumeração de domínio e movimentação lateral. O Storm-1811 então usa o PsExec para implantar o ransomware Black Basta em toda a rede.
A Microsoft disse que está analisando de perto o uso indevido do Quick Assist nesses ataques e que está trabalhando na incorporação de mensagens de aviso no software para notificar os usuários sobre possíveis golpes de suporte técnico que podem facilitar a entrega de ransomware.
A campanha, que se acredita ter começado em meados de abril de 2024, teve como alvo uma variedade de indústrias e setores verticais, incluindo manufatura, construção, alimentos e bebidas e transporte, disse Rapid7, indicando a natureza oportunista dos ataques.
Recomenda-se que as organizações bloqueiem ou desinstalem o Quick Assist e ferramentas semelhantes de monitoramento e gerenciamento remoto se não estiverem em uso e treinem os funcionários para reconhecer golpes de suporte técnico.
