As campanhas usando malwares estão cada vez mais ardilosas. Agora, por exemplo, uma nova campanha de malware foi observada usando informações confidenciais roubadas de um banco como uma isca em e-mails de phishing para induzir as vítimas a baixar o malware BitRAT.
De acordo com as informações, esse adversário desconhecido pode ter sequestrado a infraestrutura de TI de um banco cooperativo colombiano. Ele estaria usando as informações para criar mensagens de chamariz convincentes para induzir as vítimas a abrir anexos suspeitos do Excel.
Phishing induz vítimas a baixarem o malware BitRAT
A descoberta vem da empresa de segurança cibernética Qualys, que encontrou evidências de um despejo de banco de dados compreendendo 418.777 registros que dizem ter sido obtidos explorando falhas de injeção de SQL. Os detalhes vazados incluem números Cédula (um documento de identidade nacional emitido para cidadãos colombianos), endereços de e-mail, números de telefone, nomes de clientes, registros de pagamento, detalhes salariais e endereços, entre outros.
Não há sinais de que as informações tenham sido compartilhadas anteriormente em qualquer fórum na darknet ou na clear web. Isso sugere que os próprios agentes da ameaça tiveram acesso aos dados dos clientes para montar os ataques de phishing.
Os ataques
O arquivo do Excel, que contém os dados bancários exfiltrados, também incorpora uma macro usada para baixar uma carga de DLL de segundo estágio, configurada para recuperar e executar o BitRAT no host comprometido.
Notícias Relacionadas
Malware GitHub
Campanha inteligente abusa de repositórios GitHub para enviar malware
Uma nova campanha de ameaças inteligente abusa de repositórios do GitHub para distribuir o malware de roubo de senhas chamado Lumma Stealer. A campanha visa usuários que frequentam um repositório de projeto de código aberto ou que estão inscritos para receber notificações por e-mail dele. Malware Lumma Stealer sendo distribuído via repositórios GitHub Um usuário […]
Desenvolvedores Python
Desenvolvedores Python estão sendo hackeados via teste de codificação de gerenciador de senhas falso
Membros Lazarus Group estão se passando por recrutadores, hackeando desenvolvedores Python com projetos de teste de codificação para produtos de gerenciamento de senhas que incluem malware. Desenvolvedores Python hackeados Os ataques de malwares fazem parte da ‘campanha VMConnect’ detectada pela primeira vez em agosto de 2023 (Via: Bleeping Computer), onde os cibercriminosos visavam desenvolvedores de […]
De acordo com Akshat Pradhan, pesquisador da Qualys, “ele usa a biblioteca WinHTTP para baixar cargas úteis incorporadas BitRAT do GitHub para o diretório %temp%”.
O BitRAT
O BitRAT, um malware pronto para uso disponível à venda em fóruns clandestinos por apenas US$ 20 (Cerca de R$ 108,00), vem com uma ampla gama de funcionalidades para roubar dados, colher credenciais, minerar criptomoedas e baixar binários adicionais.
De acordo com Pradhan, “Os RATs comerciais têm desenvolvido sua metodologia para se espalhar e infectar suas vítimas”, que também revelou que “eles também aumentaram o uso de infraestruturas legítimas para hospedar suas cargas úteis e os defensores precisam se responsabilizar por isso”.
A campanha de phishing induz as vítimas a baixarem esse malware, o que é o início de um grande problema. Inclusive, ataques dessa natureza estão cada vez mais frequentes, fazendo vítimas no mundo inteiro.
Para se livrar de golpes de phishing como este, fique atento aos e-mails e não clique em nada que não tenha certeza.
