Campanha de ampliação de spyware direcionado para roubo de cookies e logins está sendo conduzido por invasores pouco sofisticados, que lucram com o boom da corretagem de acesso inicial na dark web
Uma campanha de espionagem contra a indústria aérea está em andamento há pelo menos dois anos, com recursos como o AsyncRAT e outros Trojans de acesso remoto (RATs) sendo aplicados para fazer os esforços escalarem rapidamente.
E o pior: a campanha pode ser apenas o golpe inicial nas vítimas, uma vez que estes primeiros ataques tendem a resultar em vazamento de dados, fraude financeira e diversos ataques subsequentes.
Mas de acordo com Tiago Pereira e Vitor Ventura, da Cisco Talos, a “Operação Layover”, como foi apelidada pelos pesquisadores provavelmente se trata de um trabalho pouco sofisticado de um cibercriminoso da Nigéria, ativo no cenário do crime cibernético há pelo menos seis anos, tendo atuado em várias campanhas contra múltiplos setores.
“[O invasor] não parece ser tecnicamente sofisticado, usando uma espécie de ‘malware on demand’ desde o início de suas atividades, sem desenvolver seu próprio malware”, observaram os pesquisadores em uma postagem. “Ele também compra os criptografadores que lhe permitem usar esse malware sem ser detectado, [e], ao longo dos anos, utilizou vários criptografadores diferentes, a maioria comprada em fóruns online… Isso mostra que até mesmo uma pequena operação pode se manter de pé por anos, sem ser detectada, ao passo que causa sérios problemas para suas vítimas.”
O boom da corretagem de acesso inicial
O objetivo da campanha é roubar credenciais e cookies, que ele pode oferecer a cibercriminosos mais experientes, disseram os pesquisadores. Esse tipo de agente de ameaça usa os dados roubados para fornecer acesso inicial em ataques muito maiores, envolvendo ransomware ou hits de comprometimento de e-mail comercial (BEC).
E, de fato, o mercado clandestino para corretores de acesso inicial (IAB) está crescendo na dark web. A obtenção de acesso a organizações vulneráveis e sua venda subsequente é, agora, um modelo de negócio que cresce vertiginosamente – sobretudo à medida que ataques utilizando ransomware como serviço também aumentam.
Esse mercado representa milhares de dólares mesmo para os cibercriminosos menos experientes.
“O mercado negro de cookies, tokens e credenciais é muito valioso, sobretudo para países em desenvolvimento, onde muitos desses criminosos estão”, observaram os pesquisadores. “Esses são os criminosos que alimentam o comércio clandestino de credenciais e cookies, cujos dados podem ser usados por grupos maiores.”
Eles acrescentam: “essas pequenas operações tendem a passar despercebidas; mesmo após serem expostas, porém, os agentes de ameaça por trás delas não interrompem sua atividade. Eles abandonam os nomes de host de comando e controle (C2) – que, neste caso, são baseados em DNS gratuitamente e podem alterar o crypter e o vetor inicial, mas não interrompem sua atividade.”
Como as ameaças contra companhias aéres funcionam
Os ataques, como muitas campanhas de malware, começam com e-mails de engenharia social. O invasor envia e-mails às vítimas se fazendo passar por organizações aeroespaciais legítimas. Esses e-mails contêm um link para um arquivo PDF; os “arquivos” apresentam nomes relacionados a viagens aéreas, informando sobre “detalhes do itinerário da viagem”, por exemplo.
Contudo, os links, na verdade, enviam os usuários a um script .VBS hospedado no Google Drive, que criptografa a carga útil RAT final e a descarrega no computador da vítima. O script é o crypter Snip3, que permanece em desenvolvimento ativo e que é oferecido como um crypter-as-a-service, de acordo com pesquisas anteriores.
Em maio, a Microsoft sinalizou partes da campanha, oferecendo alguns detalhes técnicos adicionais sobre a cadeia de infecção.
“Os invasores usam os Trojans de acesso remoto para roubo de dados, acompanhamento e cargas úteis adicionais, como o Agente Tesla, que eles usam para extração de dados. Os trojans executam componentes de forma contínua, até que eles sejam capazes de injetar em processos como RegAsm, InstallUtil ou RevSvcs. Eles roubam credenciais, capturas de tela, dados da webcam, dados do navegador e dados da área de transferência e extraem informações frequentemente através da porta SMTP 587. ”
A equipe de pesquisa do Cisco Talos, entretanto, descobriu mais recentemente alguns domínios controlados por invasores usados para comando e controle (C2) visando o setor de aviação, incluindo um bastante específico, que está sendo usado para hospedar a carga útil AsyncRAT. Como esse servidor estava usando TLS para criptografar as comunicações C2, os pesquisadores então realizaram uma busca por outros servidores usando a mesma impressão digital do certificado – e descobriram mais oito domínios vinculados à campanha, junto com mais de 50 amostras de malware individuais.
“A maioria dos domínios foi vista pela primeira vez em maio ou junho de 2021”, explicaram os pesquisadores que detalharam a campanha. “O mais antigo da lista pareceu estar ativo apenas por alguns dias, sem muitas amostras. No entanto, uma URL associada estava sempre ativa, com várias amostras usando-a como C2. ” Eles passaram a associá-la a 14 arquivos criptografados VBS maliciosos, usados na campanha contra o setor de aviação.
Ataques a companhias aéreas provavelmente terão alto impacto
Apesar da relativa falta de sofisticação e perspicácia tecnológica dos ciberataques, eles representam uma grande ameaça para as organizações, concluiu a análise da campanha.
“Muitos cibercriminosos podem ter conhecimento técnico limitado, mas ainda assim serem capazes de operar RATs e orquestrar roubos de dados, o que representa um risco significativo para grandes corporações”, disseram os pesquisadores. “Neste caso, o que parecia ser uma campanha simples é, na verdade, uma operação contínua que está ativa há três anos, visando uma indústria inteira com malware pronto para uso disfarçado por meio de diferentes criptografadores.”
E embora cookies e credenciais possam ser os principais “ganhos” por enquanto, há uma oportunidade para ataques piores no futuro, visto que a indústria de viagens e transporte sempre será um alvo tentador para os agentes de ameaças, devido não só ao seu serviço essencial, mas, sobretudo, à quantidade de diferentes tipos de dados com os quais ela lida em larga escala.
Quer manter sua empresa protegida dos diversos tipos de ameaça cibernética? Consulte as soluções de segurança da Compugraf e saiba como podemos te ajudar!