quarta-feira,27 novembro, 2024

Hackers roubam US$ 11 milhões de bancos

Um agente de ameaças roubou US$ 11 milhões de diversos bancos. Usando um driver do Windows assinado, ele fez ataques a diversos bancos de língua francesa. As atividades se encaixam no perfil do grupo de hackers OPERA1ER, aos quais foram atribuídos pelo menos 35 ataques bem-sucedidos entre 2018 e 2020.

Ao que tudo indica, a quadrilha tem membros que falam francês e estão localizados no continente africano. Além de visarem organizações da região, também atingiram empresas na Argentina, Paraguai e Bangladesh, segundo o Bleeping Computer.

Em um artigo divulgado ontem (05), pesquisadores da Symantec revelaram detalhes sobre a atividade de um grupo cibercriminoso que eles rastreiam como Bluebottle. Este grupo compartilha técnicas, táticas e procedimentos (TTPs) com os hackers OPERA1ER.

As operações dos agentes que roubaram os bancos foram relatadas pela empresa de segurança cibernética Group-IB em um longo relatório publicado no início de novembro de 2022. Os pesquisadores sentiram falta de um malware personalizado e o uso de ferramentas já disponíveis em seus ataques. 

Os pesquisadores dizem que o malware tinha dois componentes, “uma DLL de controle que lê uma lista de processos de um terceiro arquivo e um driver ‘auxiliar’ assinado controlado pelo primeiro driver é usado para encerrar os processos na lista”.

Ao que tudo indica, o driver malicioso foi usado por diversos grupos cibercriminosos para desabilitar a defesa. A Mandiant e a Sophos relataram em meados de dezembro uma lista de drivers kernel verificados com as assinaturas Authenticode do Windows Hardware Developer Program da Microsoft . 

Após rastreio e análises, os pesquisadores comprovaram que os hackers têm assinatura legítima de entidades confiáveis ​​para que suas ferramentas maliciosas possam passar por mecanismos de verificação e assim evitar a detecção. 

Segue uma lista de ferramentas e utilitários que podem conter uso duplo disponíveis no sistema: 

  • Quser para descoberta de usuários
  • Ping para verificar a conectividade com a Internet
  • Ngrok para tunelamento de rede
  • Net localgroup /add para adicionar usuários
  • Cliente Fortinet VPN – provavelmente para um canal de acesso secundário
  • Xcopy para copiar arquivos wrapper RDP
  • Netsh para abrir a porta 3389 no firewall
  • A ferramenta Autoupdatebat ‘Automatic RDP Wrapper installer and updater’ para habilitar várias sessões RDP simultâneas em um sistema
  • SC privs para modificar as permissões do agente SSH – isso pode ter sido adulteração para roubo de chave ou instalação de outro canal

Por Fernanda Lopes Soldateli, editado por Adriano Camargo 

Redação
Redaçãohttp://www.360news.com.br
1º Hub de notícias sobre inovação e tendências da região Centro-Oeste e Norte do Brasil.

LEIA MAIS

Recomendados