A ISH Tecnologia divulga mensalmente um relatório sobre quais foram as principais ameaças cibernéticas encontradas por sua equipe de especialistas no último mês. Em outubro, a empresa destacou novos malwares, além dos já conhecidos, que tem como foco roubo de dados bancários empresariais e individuais, além de apontar ataques a sistemas Android e IOS, e o surgimento do grupo IRoX Team – apoiador da Palestina e seus aliados.
Nova variante do trojan bancário BBTok
Identificado por pesquisadores da Check Point, uma nova variante do malware trojan bancário, também conhecido como BBTok, foi identificada e tem como alvo principal mais de 40 bancos da América Latina. Detectada pela primeira vez em 2020, o BBTok depende de uma nova cadeia de infecção, e para isso usam uma campanha de infecção de baixa detecção chamada Living off the Land Bineries (LOLBins).
A nova campanha do malware tem como foco principal usuários do Brasil e do México, persuadindo-os a inserirem seus códigos MFA ou até mesmo seus dados bancários. Para que isso ocorra, os atacantes exibem uma interfase falsa se passando por bancos legítimos enganando a vítima a fornecer suas informações pessoais e financeiras.
Além disso, os invasores usam de recursos digitais para instalar uma extensão de navegador malicioso, ou injetar uma DLL chamada “rpp. dll”, para conseguir ter mais acessos ao sistema infectado, melhorando assim sua capacidade de enganar vítimas. Isso se torna possível pois com o BBTok inserido no aparelho, possibilita que atacantes executem comandos remotamente, podendo programar ataques com mais facilidade.
Recomendações para a mitigação da infecção do referido malware incluem adotar medidas de proteção de borda, conscientizar colaboradores em relação à proteção de e-mails; e evitar realizar o download de artefatos contidos em e-mails suspeitos.
Campanha Silent Skimmer identificada contra empresas de pagamento
Uma nova campanha identificada como “Silent Skimmer”, pela empresa BlackBerry, apresenta um ator de ameaça com motivação financeira que visa empresas vulneráveis de pagamento, principalmente na Ásia-Pacífico e na América do Norte. A campanha tem como alvo setores que hospedam ou criam infraestrutura de pagamento – roubando informações confidenciais como dados bancários.
Após o invasor deter poder sobre o servidor web, ele implementa diversas ferramentas, incluindo códigos aberto e binários scripts Living Off the Land (LOLBAS).
A análise de infraestrutura de rede indicou que o invasor está operando seus servidores de comando e controle (C2) para hospedar todos os serviços usados nesta campanha, utilizando um servidor de arquivo HTTPS para hospedar o verdadeiro arsenal de ferramentas e cargas pós-exploração.
O alvo do ator de ameaça se focaliza principalmente em aplicações web vulneráveis, local o qual as vítimas identificadas até agora eram todas em sites individuais.
Existem fatores de mitigação da infecção do referido malware, como exemplo manter o software sempre atualizado, tanto o sistema operacional quanto software de segurança; usar antivírus e antimalware; aplicar senhas fortes e únicas; inserir autenticação de dois fatores (2FA); e fazer backup regulares.
Spyware Predator para dispositivos IOS e Android
O Spyware conhecido como Predator foi entregue a iPhones utilizando de vulnerabilidades de zero day do IOS, e para Androids utilizando Chrome e ataques man-in-the-middle (MitM).
No mês de setembro a Apple informou a seus usuários sobre a disponibilidade de patches para três zero days classificados como:
CVE-2023-41991 (ignorar verificação de assinatura)
CVE-2023-41992 (escalonamento de privilégios locais)
CVE-2023-41993 (execução de código arbitrário via página web maliciosa).
O grupo Citizen Lab da Universidade de Toronto e a Threat Analysis Group do Google, as quais foram credenciadas por relatar a vulnerabilidade a Apple, afirmam que as falhas foram encadeadas em um ataque contra um político no Egito.
Ainda, de acordo com o Citizen, assim que a vítima ligasse seus dados moveis o atacante a direcionaria para um site configurado para servir o spyware Predator, que foi atribuído a duas entidades relacionadas a Cytrox e Intellexa. Além disso, por ser um ataque usando MitM, não é necessária a interação do usuário caracterizando como “0-click”, basta apenas atender qualquer chamada telefônica.
Para Androids, o Google também relatou uma cadeia de exploração, porém não conseguiram identificar todas as vulnerabilidades envolvidas. A cadeia de exploração Android foi entregue não apenas por ataques MitM, mas também por meio de links maliciosos enviados diretamente ao alvo em mensagens SMS e WhatsApp.
IRoX Team
O grupo de ameaças IRoX Team, recentemente divulgou em seu canal do Telegram que realizará ataques cibernéticos em determinados países além de divulgar as datas que acontecerão. Os atores mostram seu apoio a resistência palestina contra os Israelenses, declarando seu propósito de se engajar em uma batalha digital contra Israel e seus aliados.
Para o grupo, o objetivo é: “aniquilar por completo o ambiente virtual daqueles que respaldam os judeus israelenses”. Um dos países que o grupo planejava atacar era o Brasil, no dia 20 de outubro.
Até o momento, não há informações prévias sobre o IRoX Team, porém foi possível coletar informações sobre quem seriam os líderes ou agentes que atuavam juntamente do grupo, além de usuários querendo se juntar a causa. Após a identificação dos possíveis administradores, foi realizado uma busca para tentar encontrar informações sobre TTPs, possíveis localidades e outros fatores.
Além das informações apresentadas, foi identificado que IRoX possui vínculo com as equipes do Team Dishari de Bangladesh; Death Cyber Army; Team BADS – Security Researches; e o DDoS Project (Rússia).
