Cibercriminosos usam driver do Windows assinado em ataques a bancos em países de língua francesa. Esse agente de ameaças provavelmente roubou mais de US$ 11 milhões (quase R$ 60 mi) de vários bancos.
De acordo com as informações do Bleeping Computer, a atividade e os alvos se encaixam no perfil dos hackers OPERA1ER aos quais foram atribuídos pelo menos 35 ataques bem-sucedidos entre 2018 e 2020.
Acredita-se que a quadrilha tenha membros que falam francês e que opere a partir da África, visando organizações da região, embora também atinja empresas na Argentina, Paraguai e Bangladesh.
Bluebottle usado para ataques a bancos podem fazer parte do OPERA1ER
Em um relatório de hoje (Via: Bleeping Computer), pesquisadores da Symantec, uma divisão da Broadcom Software, revelam detalhes sobre a atividade de um grupo cibercriminoso que eles rastreiam como Bluebottle, que compartilha semelhanças significativas com as táticas, técnicas e procedimentos (TTPs) da gangue OPERA1ER.
As campanhas do OPERA1ER foram documentadas pela empresa de segurança cibernética Group-IB em um longo relatório publicado no início de novembro de 2022, onde os pesquisadores observam a falta de malware personalizado e o uso extensivo de ferramentas prontamente disponíveis.
De acordo com os pesquisadores,o malware tinha dois componentes, “uma DLL de controle que lê uma lista de processos de um terceiro arquivo e um driver ‘auxiliar’ assinado controlado pelo primeiro driver e usado para encerrar os processos na lista”.
Driver malicioso assinado do Windows usado no ataque a bancos
Parece que o driver malicioso assinado foi usado por vários grupos cibercriminosos para desabilitar a defesa. A Mandiant e a Sophos relataram isso em meados de dezembro em uma lista que incluía drivers de modo kernel verificados com assinaturas Authenticode do Windows Hardware Developer Program da Microsoft.
Mandiant rastreia o driver como POORTRY, dizendo que o primeiro sinal dele foi em junho de 2022 e que foi usado com uma mistura de certificados, alguns deles roubados e populares entre os cibercriminosos. A versão que os pesquisadores da Symantec encontraram, embora seja o mesmo driver, foi assinada com um certificado digital da empresa chinesa Zhuhai Liancheng Technology Co., Ltd.
Isso mostra que os cibercriminosos têm provedores que podem fornecer assinaturas legítimas de entidades confiáveis ??para que suas ferramentas maliciosas possam passar por mecanismos de verificação e evitar a detecção.
Os pesquisadores observam que o mesmo driver foi usado em atividades suspeitas de levar a um ataque de ransomware contra uma entidade sem fins lucrativos no Canadá.