Um agente de ameaças roubou US$ 11 milhões de diversos bancos. Usando um driver do Windows assinado, ele fez ataques a diversos bancos de língua francesa. As atividades se encaixam no perfil do grupo de hackers OPERA1ER, aos quais foram atribuídos pelo menos 35 ataques bem-sucedidos entre 2018 e 2020.
Ao que tudo indica, a quadrilha tem membros que falam francês e estão localizados no continente africano. Além de visarem organizações da região, também atingiram empresas na Argentina, Paraguai e Bangladesh, segundo o Bleeping Computer.
Em um artigo divulgado ontem (05), pesquisadores da Symantec revelaram detalhes sobre a atividade de um grupo cibercriminoso que eles rastreiam como Bluebottle. Este grupo compartilha técnicas, táticas e procedimentos (TTPs) com os hackers OPERA1ER.
As operações dos agentes que roubaram os bancos foram relatadas pela empresa de segurança cibernética Group-IB em um longo relatório publicado no início de novembro de 2022. Os pesquisadores sentiram falta de um malware personalizado e o uso de ferramentas já disponíveis em seus ataques.
Os pesquisadores dizem que o malware tinha dois componentes, “uma DLL de controle que lê uma lista de processos de um terceiro arquivo e um driver ‘auxiliar’ assinado controlado pelo primeiro driver é usado para encerrar os processos na lista”.
Ao que tudo indica, o driver malicioso foi usado por diversos grupos cibercriminosos para desabilitar a defesa. A Mandiant e a Sophos relataram em meados de dezembro uma lista de drivers kernel verificados com as assinaturas Authenticode do Windows Hardware Developer Program da Microsoft .
Após rastreio e análises, os pesquisadores comprovaram que os hackers têm assinatura legítima de entidades confiáveis para que suas ferramentas maliciosas possam passar por mecanismos de verificação e assim evitar a detecção.
Segue uma lista de ferramentas e utilitários que podem conter uso duplo disponíveis no sistema:
- Quser para descoberta de usuários
- Ping para verificar a conectividade com a Internet
- Ngrok para tunelamento de rede
- Net localgroup /add para adicionar usuários
- Cliente Fortinet VPN – provavelmente para um canal de acesso secundário
- Xcopy para copiar arquivos wrapper RDP
- Netsh para abrir a porta 3389 no firewall
- A ferramenta Autoupdatebat ‘Automatic RDP Wrapper installer and updater’ para habilitar várias sessões RDP simultâneas em um sistema
- SC privs para modificar as permissões do agente SSH – isso pode ter sido adulteração para roubo de chave ou instalação de outro canal
Por Fernanda Lopes Soldateli, editado por Adriano Camargo