Mais um ataque cibernético aproveita a infraestrutura de nuvem pública para implantar até três Trojans comerciais de acesso remoto (RATs). São eles: Nanocore, Netwire e AsyncRAT. A implementação ocorre a partir de sistemas de nuvem pública. Para a Cisco Talos este não é um acaso. Assim, esses ciberataques evitam possuir ou gerenciar a própria infraestrutura paga e privada. Portanto, é uma forma de escapar da lei e ficar na impunidade. Então, esses trojans de acesso remoto afetam Microsoft Azure e nuvem da AWS.
Microsoft Azure e Amazon Web Services (AWS) são usados para esses fins maliciosos.
Esses tipos de serviços em nuvem, como Azure e AWS, permitem que invasores configurem sua infraestrutura e se conectem à Internet com o mínimo de tempo ou compromissos monetários, diz Talos. Isso também torna mais difícil para os defensores rastrearem as operações dos atacantes.
Trojans de acesso remoto afetam Microsoft Azure e nuvem da AWS
Os pesquisadores Chetan Raghuprasad e Vanja Svajcer da Cisco Talos, disseram que um novo tipo de ataque que usa a infraestrutura de nuvem pública foi descoberta em outubro de 2021. Além disso, a maioria das vítimas está nos EUA, Canadá e Itália. No entanto, boa parte parece ser de Espanha e Coreia do Sul.
O ataque começa com um e-mail de phishing, muitas vezes disfarçado de fatura. As mensagens têm arquivos .ZIP anexados. Caso sejam abertos, revelam uma imagem ISO. O arquivo ISO possui:
- um carregador malicioso para os Trojans por meio de JavaScript;
- um arquivo de lote do Windows;
- ou um script do Visual Basic.
Se carregar a imagem de disco, os scripts serão acionados. A partir daí, vão implantar Nanocore, Netwire e AsyncRAT. Depois, os scripts chegarão a um servidor de download para capturar uma carga útil. A partir daí, o serviço de nuvem entra em ação.
No entanto, o JavaScript contém quatro camadas de ofuscação com cada novo processo malicioso gerado depois que a camada anterior é removida; o arquivo em lote contém comandos ofuscados que executam o PowerShell para coletar sua carga, e o arquivo VBScript também utiliza comandos do PowerShell. Um conta-gotas PowerShell construído com HCrypt também foi detectado.
Alguns dos servidores de download estão executando o aplicativo de servidor web Apache”, dizem os pesquisadores. “Os servidores HTTP estão configurados para permitir a listagem de diretórios abertos que contêm variantes de malware NanocoreRATs, Netwire RAT e AsyncRATs.
Além disso, os operadores abusam do DuckDNS, um serviço DNS dinâmico legítimo. Isso ocorre para apontar subdomínios em endereços IP. O serviço é usado para gerenciar downloads de malware por meio de subdomínios DuckDNS maliciosos. Do mesmo modo, mascara os nomes dos hosts C2, de acordo com Talos.
Netwire, Nanocore e AsyncRAT são cepas de Trojans comerciais usadas para acessar e sequestrar remotamente máquinas vulneráveis, roubar dados de usuários e conduzir vigilância por meio de captura de áudio e câmera.
Os defensores devem monitorar o tráfego para sua organização e implementar regras robustas em torno das políticas de execução de script em seus terminais, comentaram os pesquisadores. É ainda mais importante para as organizações melhorarem a segurança de e-mail para detectar e mitigar mensagens de e-mail maliciosas e quebrar a cadeia de infecção o mais cedo possível.
Via ZDNet