- Os invasores agora contam com os funcionários para lançar malware sem o seu conhecimento
- Chamadas falsas de suporte de TI transformam a solução de problemas rotineira em um comprometimento total da rede
- As falhas do navegador tornam-no o movimento de abertura para ataques de engenharia social cuidadosamente orquestrados
Os especialistas alertam que a atividade cibercriminosa continua a passar da exploração direta de software para a manipulação do comportamento diário dos utilizadores em ambientes empresariais.
Uma nova pesquisa da Huntress descreve uma campanha na qual os invasores travam deliberadamente o navegador do usuário e exibem mensagens de segurança alarmantes solicitando uma “correção”.
A tática cria uma falsa sensação de urgência, ao mesmo tempo que permite que o invasor inicie uma comunicação direta com o funcionário.
Os invasores se aproveitam da confusão dos funcionários
Em muitos dos casos observados, as vítimas receberam chamadas telefónicas de indivíduos que afirmavam ser funcionários técnicos internos responsáveis pela resolução do problema, conferindo credibilidade ao agressor e pressionando os funcionários para que cooperassem com instruções aparentemente rotineiras.
Toda a cadeia começa com mensagens de spam inundando a caixa de correio do usuário. Logo depois, chega um telefonema de alguém que afirma representar o “suporte de TI”, dizendo que precisa de manutenção imediata em um computador afetado por spam ou falha no navegador.
A decepção funciona convencendo as vítimas a realizarem ações que as levem ao comprometimento.
Os pesquisadores explicaram que os invasores dependem da interação manual do usuário, em vez da entrega automática de malware, conduzindo as vítimas por etapas como aceitar sessões de acesso remoto ou instalar ferramentas de administração remota, como o AnyDesk.
Em outros casos, permite aos usuários copiar e colar comandos em avisos do sistema ou executar scripts disfarçados como correções de diagnóstico.
Os invasores abrem um navegador em sessões remotas e direcionam as vítimas para uma interface fraudulenta de tema da Microsoft hospedada na infraestrutura em nuvem.
As vítimas foram instruídas a fazer login em um falso “Painel de Controle Antispam do Outlook” e baixar o que foi descrito como um “Patch Antispam”, mas na verdade era um arquivo disfarçado contendo vários componentes projetados para iniciar a próxima fase do ataque.
Depois que os chamados arquivos de reparo foram executados, a cadeia maliciosa se reconstruiu localmente usando uma carga preparada, descompactando arquivos que pareciam componentes de software legítimos, incluindo bibliotecas de tempo de execução e utilitários executáveis.
Um binário chamado ADNotificationManager.exe inicia a próxima fase do comprometimento após a instalação.
Nesta fase, os invasores contam com uma técnica conhecida como sideload de DLL para executar códigos maliciosos enquanto os aplicativos legítimos continuam funcionando normalmente.
Bibliotecas dinâmicas maliciosas foram colocadas ao lado de arquivos legítimos, permitindo que o malware fosse executado sem disparar imediatamente alarmes óbvios no sistema.
Zama finalmente implantou um agente modificado derivado da estrutura de comando e controle de código aberto Havoc C2.
E “o que costumava ser uma compra de vale-presente de US$ 300 agora termina com uma moldura Havoc C2 modificada integrada ao seu ambiente”.
A atividade é rápida; em um caso, a intrusão se espalhou do computador inicialmente comprometido para nove terminais adicionais em aproximadamente onze horas.
Esta atividade rápida representa o controle direto do operador, em vez da propagação automatizada de malware através de vulnerabilidades.
O invasor usou ferramentas de gerenciamento remoto e cargas com script para manter a persistência enquanto se deslocava pelos sistemas conectados.
Os pesquisadores alertam que a campanha reitera como os invasores dependem cada vez mais da interação social, em vez de erros técnicos, para contornar as defesas do firewall.
Siga o TechRadar no Google Notícias e adicione-nos como sua fonte padrão para receber notícias, opiniões e opiniões de nossos especialistas em feeds. Certifique-se de clicar no botão Continuar!
E é claro que você também pode Siga o TechRadar no TikTok para receber notícias, análises, unboxings de vídeos e receber atualizações regulares nossas WhatsApp também
