Notícias

13/01/2022 às 09:00

6 min leitura

Avatar Autor
Por Claylson Martins

Trojans de acesso remoto afetam Microsoft Azure e nuvem da AWS

Mais de um tipo de ataque está ocorrendo para serviços de nuvem.

Trojans de acesso remoto afetam Microsoft Azure e nuvem da AWS

Mais um ataque cibernético aproveita a infraestrutura de nuvem pública para implantar até três Trojans comerciais de acesso remoto (RATs). São eles: Nanocore, Netwire e AsyncRAT. A implementação ocorre a partir de sistemas de nuvem pública. Para a Cisco Talos este não é um acaso. Assim, esses ciberataques evitam possuir ou gerenciar a própria infraestrutura paga e privada. Portanto, é uma forma de escapar da lei e ficar na impunidade. Então, esses trojans de acesso remoto afetam Microsoft Azure e nuvem da AWS.


Microsoft Azure e Amazon Web Services (AWS) são usados para esses fins maliciosos. 

Esses tipos de serviços em nuvem, como Azure e AWS, permitem que invasores configurem sua infraestrutura e se conectem à Internet com o mínimo de tempo ou compromissos monetários, diz Talos. Isso também torna mais difícil para os defensores rastrearem as operações dos atacantes.

Trojans de acesso remoto afetam Microsoft Azure e nuvem da AWS

Trojans de acesso remoto afetam Microsoft Azure e nuvem da AWS
Trojans de acesso remoto afetam Microsoft Azure e nuvem da AWS

Os pesquisadores Chetan Raghuprasad e Vanja Svajcer da Cisco Talos, disseram que um novo tipo de ataque que usa a infraestrutura de nuvem pública foi descoberta em outubro de 2021. Além disso, a maioria das vítimas está nos EUA, Canadá e Itália. No entanto, boa parte parece ser de Espanha e Coreia do Sul. 

O ataque começa com um e-mail de phishing, muitas vezes disfarçado de fatura. As mensagens têm arquivos .ZIP anexados. Caso sejam abertos, revelam uma imagem ISO. O arquivo ISO possui:

  • um carregador malicioso para os Trojans por meio de JavaScript;
  • um arquivo de lote do Windows;
  • ou um script do Visual Basic. 

Se carregar a imagem de disco, os scripts serão acionados. A partir daí, vão implantar Nanocore, Netwire e AsyncRAT. Depois, os scripts chegarão a um servidor de download para capturar uma carga útil. A partir daí, o serviço de nuvem entra em ação.  

No entanto, o JavaScript contém quatro camadas de ofuscação com cada novo processo malicioso gerado depois que a camada anterior é removida; o arquivo em lote contém comandos ofuscados que executam o PowerShell para coletar sua carga, e o arquivo VBScript também utiliza comandos do PowerShell. Um conta-gotas PowerShell construído com HCrypt também foi detectado. 

Alguns dos servidores de download estão executando o aplicativo de servidor web Apache”, dizem os pesquisadores. “Os servidores HTTP estão configurados para permitir a listagem de diretórios abertos que contêm variantes de malware NanocoreRATs, Netwire RAT e AsyncRATs.

Além disso, os operadores abusam do DuckDNS, um serviço DNS dinâmico legítimo. Isso ocorre para apontar subdomínios em endereços IP. O serviço é usado para gerenciar downloads de malware por meio de subdomínios DuckDNS maliciosos. Do mesmo modo, mascara os nomes dos hosts C2, de acordo com Talos. 

Netwire, Nanocore e AsyncRAT são cepas de Trojans comerciais usadas para acessar e sequestrar remotamente máquinas vulneráveis, roubar dados de usuários e conduzir vigilância por meio de captura de áudio e câmera.

Os defensores devem monitorar o tráfego para sua organização e implementar regras robustas em torno das políticas de execução de script em seus terminais, comentaram os pesquisadores. É ainda mais importante para as organizações melhorarem a segurança de e-mail para detectar e mitigar mensagens de e-mail maliciosas e quebrar a cadeia de infecção o mais cedo possível.

Via ZDNet

Jornalista com pós graduações em Economia, Jornalismo Digital e Radiodifusão. Nas horas não muito vagas, professor, fotógrafo, apaixonado por rádio e natureza.

Mais lidas

Últimos posts

Newsletter

Receba nossas atualizações!

Newsletter

Receba nossas atualizações!
  • Este campo é para fins de validação e não deve ser alterado.
×