Uma nova campanha de phishing foi observada usando um novo malware loader para entregar um ladrão de informações e um keylogger chamado Agent Tesla.
Trustwave SpiderLabs disse que identificou um email de phishing que realizava esse ataque no dia 8 de março de 2024.
A mensagem se disfarça como uma notificação de pagamento bancário, instigando o usuário a abrir um arquivo anexo.
O arquivo (chamado "Bank Handlowy w Warszawie - dowód wpłaty_pdf.tar.gz") esconde um loader malicioso que ativa o procedimento para instalar o Agent Tesla no host comprometido.
"Este loader usou ofuscação para evitar detecção e aproveitou o comportamento polimórfico com métodos de descriptografia complexos", disse o pesquisador de segurança Bernard Bautista nesta análise de terça-feira.
"O loader também apresentou a capacidade de contornar defesas antivírus e recuperou sua payload usando URLs específicos e agentes do usuário que utilizam proxies para ofuscar ainda mais o tráfego."
A tática de embutir malwares em arquivos aparentemente benignos é uma tática que tem sido repetidamente empregada por atores de ameaças para enganar vítimas desavisadas a desencadearem a sequência de infecção.
O loader usado no ataque é escrito em .NET, com a Trustwave descobrindo duas variantes distintas que usam uma rotina de descriptografia diferente para cada um, a fim de acessar sua configuração e finalmente recuperar a payload do Agent Tesla codificada em XOR de um servidor remoto.
Em um esforço para evitar detecção, o loader também é projetado para contornar a Interface de Serviço de Antimalware do Windows (AMSI), que oferece a capacidade de softwares de segurança escanearem arquivos, memória e outros dados em busca de ameaças.
Ele consegue isso por "corrigir a função AmsiScanBuffer para evitar a varredura de malware no conteúdo em memória", explicou Bautista.
A última fase envolve a decodificação e execução do Agent Tesla na memória, permitindo que os atores de ameaças extraíssem furtivamente dados sensíveis via SMTP usando uma conta de email comprometida associada a um fornecedor legítimo de sistemas de segurança na Turquia ("merve@temikan[.]com[.]tr").
A abordagem, disse a Trustwave, não apenas não levanta suspeitas, mas também proporciona um nível de anonimato que torna mais difícil rastrear o ataque de volta ao adversário, sem mencionar a economia de ter que criar canais de exfiltração dedicados.
"[O loader] emprega métodos como correção para contornar a detecção da Interface de Serviço de Antimalware (AMSI) e carregar dinamicamente payloads, garantindo execução sigilosa e minimizando rastros no disco", disse Bautista.
"Este loader marca uma notável evolução nas táticas de implementação do Agent Tesla."
Os detalhes vieram à tona quando a BlueVoyant descobriu outra atividade de phishing conduzida por um grupo de cibercriminosos chamado TA544 que se aproveita de PDFs disfarçados de faturas legais para propagar WikiLoader (também conhecido como WailingCrab) e estabelecer conexões com um servidor de comandos e controle (C2) que quase exclusivamente engloba sites WordPress hackeados.
Vale a pena ressaltar que TA544 também usou uma falha de segurança do Windows conhecida como
CVE-2023-36025
em novembro de 2023 para distribuir Remcos RAT através de uma diferente família de loaders chamada IDAT Loader, permitindo que ele assumisse o controle de sistemas infectados.
As descobertas também seguem um aumento no uso de um kit de phishing chamado Tycoon, que a Sekoia disse ter "tornado um dos kits de phishing mais difundidos [adversário no meio] nos últimos meses, com mais de 1.100 domínios detectados entre o final de outubro de 2023 e o final de fevereiro de 2024."
Tycoon, documentado publicamente pela Trustwave no mês passado, permite que cibercriminosos atinjam usuários do Microsoft 365 com páginas de login falsas para capturar suas credenciais, cookies de sessão e códigos de autenticação de dois fatores (2FA).
É conhecido por estar ativo pelo menos desde agosto de 2023, com o serviço sendo oferecido através de canais privados do Telegram.
O kit de phishing é notável pelo uso de métodos de filtragem de tráfego extensos para frustrar a atividade de bots e tentativas de análise, exigindo que os visitantes do site completem um desafio Cloudflare Turnstile antes de serem redirecionados para uma página de colheita de credenciais.
Tycoon também tem semelhanças operacionais e de design com o kit de phishing Dadsec OTT, levantando a possibilidade de que os desenvolvedores tiveram acesso e ajustaram o código-fonte deste último para atender às suas necessidades.
Isso é suportado pelo fato de que Dadsec OTT teve seu código-fonte vazado em outubro de 2023.
"O desenvolvedor melhorou as capacidades de ocultação na versão mais recente do kit de phishing", disse Sekoia.
"As atualizações recentes poderiam reduzir a taxa de detecção por produtos de segurança das páginas de phishing Tycoon 2FA e da infraestrutura.
Além disso, sua facilidade de uso e seu preço relativamente baixo o tornam bastante popular entre os atores de ameaças."
Publicidade
O curso Python Básico da Solyd oferece uma rápida aproximação à linguagem Python com diversos projetos práticos. Indo do zero absoluto até a construção de suas primeiras ferramentas. Tenha também suporte e certificado gratuitos. Saiba mais...