Grupos profissionais de hackers estão adotando uma nova forma de malware com o ‘AndroMut’, visando informações financeiras e bancos usando engenharia social

Ilustração de cibersegurança

Um grupo profissional de hackers com técnicas sofisticadas para executar ataques de phishing e outras formas de malware parece estar alterando sua direção. Com o objetivo claro de priorizar a qualidade em vez da quantidade, o infame grupo de hackers TA505 mudou usando uma nova forma de código malicioso chamado AndroMut. Curiosamente, o malware parece ser inspirado em Andromeda. Projetado originalmente por outro grupo de hackers, Andromeda era um dos maiores botnets de malware do mundo recentemente, em 2017. Botnets baseados no código Andromeda executaram com sucesso sua entrega de carga em vários PCs vulneráveis ​​e suspeitos executando o sistema operacional Windows. O AndroMut parece ser amplamente baseado neste mesmo código de Andromeda, indicando uma possível colaboração entre os grupos de hackers.

Um dos grupos cibercriminosos mais bem-sucedidos do mundo, que se autodenominam TA505, parece ter alterado suas táticas. Como parte da última campanha maliciosa de ataque e roubo de informações financeiras, o grupo está ocupado distribuindo uma nova forma de malware. Em vez de visar um grande número de indivíduos, como parte do pivô, o grupo TA505 parece estar indo atrás de bancos e outros serviços financeiros. A propósito, o ponto de entrada ou origem permanece o mesmo, mas o alvo pretendido e o foco parecem estar no setor financeiro organizado. A propósito, empresas financeiras nos Estados Unidos, Emirados Árabes Unidos e Cingapura são aconselhadas a ficar em alerta máximo e procurar qualquer conteúdo suspeito. Alguns dos pontos mais comuns do ataque continuam sendo e-mails com aparência oficial.

Grupo TA505 usa a base do Andromeda para desenvolver e implantar o AndroMut

O infame grupo TA505 parece ter aumentado sua intensidade durante o último mês e continuou com a mesma ferocidade. Ele não está mais tentando implantar ondas aleatórias de ataques que tentam obter o controle das máquinas das vítimas. Em outras palavras, e-mails de phishing em massa não são mais a tática preferida. Em vez disso, o grupo TA505 reduziu significativamente o volume de ataques e mudou claramente para ataques mais direcionados.

Bom artigo de @proofpoint
pesquisadores discutindo duas campanhas distintas por TA505 que usaram AndroMut para baixar FlawedAmmyy. AndroMut é escrito em C ++ e é um tipo de downloader.

Blog: https://t.co/vIDcrhKQ3z

Amostras: https://t.co/QM83SVr0GA pic.twitter.com/TNO7COhcl0

- InQuest (@InQuest) 3 de julho de 2019

Com base na análise de vários e-mails suspeitos e outras formas de comunicação e mídia eletrônica, pesquisadores de segurança cibernética em Prova indicaram que o grupo de hackers parece ter como alvo funcionários de bancos e outros provedores de serviços financeiros. Os pesquisadores também descobriram o uso de uma nova forma de malware sofisticado. Os pesquisadores estão chamando-o de AndroMut e descobriram que o malware tem algumas semelhanças com o Andromeda. Projetado e implantado por um grupo totalmente diferente de hackers, o Andromeda tem sido um dos mais executados com sucesso, perigoso e uma das maiores redes de botnets de malware do mundo. Até 2017, o Andromeda estava se espalhando prolificamente e se instalando com sucesso em PCs vulneráveis ​​com o sistema operacional Windows.

Como o grupo TA505 está executando o ataque de malware?

Como a maioria dos ataques do outro grupo TA505, o novo malware AndroMut também é distribuído por e-mails de aparência legítima. Os ataques de phishing envolvem e-mails que parecem e parecem altamente oficiais e autênticos. Esses e-mails geralmente afirmam conter faturas e outros documentos supostamente relacionados a bancos e finanças. Os e-mails usados ​​em phishing costumam ser criados meticulosamente. Embora vários e-mails contenham o popular documento PDF, os e-mails de phishing do grupo TA505 parecem depender de documentos do Word.

https://twitter.com/rsz619mania/status/1146387091598667777

Assim que a vítima desavisada abre o documento do Word atado, o grupo conta com a engenharia social para continuar o ataque. Isso pode parecer complicado, mas, na verdade, o ataque se baseia em um método bastante antigo de 'macros' em documentos do Word. Os alvos são informados de que as informações estão 'protegidas' e precisam habilitar a edição para ver seu conteúdo. Isso ativa macros e permite que o AndroMut seja entregue à máquina. Esse malware então baixa discretamente o FlawedAmmyy. Assim que ambos estiverem instalados, as máquinas das vítimas ficam totalmente comprometidas.

O que é AndroMut e como funciona o malware de vários estágios?

TA505 está usando AndroMut como o primeiro estágio em um ataque de dois estágios. Em outras palavras, o AndroMut é a primeira parte de uma infecção e controle bem-sucedidos dos computadores das vítimas. Uma vez bem-sucedido na penetração, o AndroMut usa a infecção para jogar discretamente uma segunda carga na máquina comprometida. A segunda carga de código malicioso é chamada de FlawedAmmyy. Essencialmente, o FlawedAmmyy é um poderoso e eficiente Trojan ou RAT de acesso remoto.

O agressivo RAT FlawedAmmyy de segundo estágio é um malware virulento que concede acesso remoto aos computadores das vítimas. Os invasores podem obter privilégios administrativos remotos. Uma vez dentro, os invasores têm acesso completo aos arquivos, credenciais e muito mais.

Aliás, os dados, em si, não são o alvo. Em outras palavras, roubar dados não é a intenção principal. Como parte do pivô, o grupo TA505 busca informações que lhes garantam acesso à rede interna de bancos e outras instituições financeiras.

TA505 lança malware AndroMut https://t.co/Gv0krE1U66 pic.twitter.com/dStN33FsUy

- C_138 (@ C_138) 3 de julho de 2019

O Grupo TA505 está seguindo o dinheiro, dizem os especialistas:

Falando sobre as atividades do grupo de hackers, Chris Dawson, líder de inteligência de ameaças da Prova disse, “A mudança do A505 para distribuir principalmente RATs e downloaders em campanhas muito mais direcionadas do que empregavam anteriormente com cavalos de Troia e ransomware bancários sugere uma mudança fundamental em suas táticas. Essencialmente, o grupo está buscando infecções de qualidade superior com potencial para monetização de longo prazo - qualidade sobre quantidade. ”

Os cibercriminosos estão essencialmente ajustando seus ataques e selecionando seus alvos, em vez de empreender campanhas massivas de e-mail na esperança de prender as vítimas. Eles estão atrás dos dados e, mais importante, de informações confidenciais, para roubar dinheiro. O último pivô é essencialmente apenas um exemplo de hackers seguindo o mercado e o dinheiro. Portanto, a mudança na estratégia não deve ser considerada permanente, observou Dawson, 'O que não está claro é o resultado final ou o fim do jogo dessa mudança. O A505 segue muito o dinheiro, adaptando-se às tendências globais e explorando novas geografias e cargas úteis para maximizar seus retornos. ”